Business Active Backup for Business: kann ein Virus die NAS-Daten verändern?

[TomTau]

Hallo,

ich plane - nach der immer noch gut (aber langsam) funktionierenden DS213+ - einen Wechsel zur DS920+, u.a. wegen "Active Backup for Business".
"Active Backup for Business" soll u.a. PCs sichern.

Nun meine Frage:
Active Backup for Business holt sich ja die Daten vom PC.
Kann der PC in die Gegenrichtung genau so auf die Daten zugreifen und sie auch verändern?
Oder sind die Rechte in diese Richtung nicht vorhanden?

Interessant wird es ja, wenn man sich einen Virus eingefangen hat, der die Laufwerke verschlüsselt.
Wenn dieses Virus auch auf die NAS zugreifen könnte, wären die Daten ja dann auch "Schrott".

Könnt Ihr mir da Infos liefern?

Besten Dank im Voraus!
TomTau

 

[TeXniXo]

Ja, ist so möglich. Weitere Infos findest du unter "Ransom" hier via Suchfunktion. Da gibts schon einige interessante Threads dazu.

 

[Jagnix]

Deshalb sichere jeden PC in einem anderen Verzeichnis. Alle Clients haben unterschiedliche Benutzernamen und Passwörter.
Desweiteren haben diese User nur R/W-Rechte für ihren Ordner. So wird im schlimmsten Fall nur ein Backordner "zerstört".

 

[synfor]

Noch besser den Usern auf das Backup maximal Leserechte einräumen.

 

[Jagnix]

Dann habe ich mich blöde ausgedrückt.
Der Client für Backup for Business hat andere Benutzerdaten wie der User am PC.

Oder was meinst du @synfor ?

 

[synfor]

Dass ABB das Backup vom Client abholt, ist schon mal ein Vorteil. Nützt nur nichts, wenn die User Schreibzugriff aufs Backup haben. Wenn die User nur Leserechte auf den Backupordner haben, können sie kein Backup zerstören.

 

[TomTau]

Danke Euch erst einmal.
Ich hatte die Suchfunktion zwar schon angeworfen, aber bin nicht fündig geworden...

Dass ABB das Backup vom Client abholt, ist schon mal ein Vorteil. Nützt nur nichts, wenn die User Schreibzugriff aufs Backup haben. Wenn die User nur Leserechte auf den Backupordner haben, können sie kein Backup zerstören.

Wenn ich das richtig verstehe, wäre es doch ganz einfach:
Der Windows-User bekommt nur Leserechte auf diesen NAS-Bereich (Backupordner) und es kann nichts zerstört werden.

Werde mich aber hier mit der Suchfunktion weiter belesen.

Vielen Dank schon einmal für die Antworten hier oben!
TomTau

 

[blurrrr]

Entweder so, oder das berühmte "Backup vom Backup", was dann vom initialen Backup-NAS "geholt" wird. Somit hat das Backup-NAS auch keinen Zugriff auf das Backup vom Backup

 

[TomTau]

Wenn ich Dich richtig verstehe wäre Folgendes schon eine gute Lösung:

• "Active Backup for Business" sichert auf der NAS in einen für den Windowsbenutzer unerreichbaren Ordner
• meine alte NAS (die weder aus dem Internet noch im Netz direkt erreichbar ist außer über die Weboberfläche) holt sich diese Daten als zusätzliches Backup (mit welcher App???)
• und was ich eh schon durchführe: 2 USB-LW, die wechselseitig speichern und an einem anderen Ort liegen (allerdings eher in Monatsabständen...)

Nachdem ich die Beiträge mit dem Begriff "Ransom" durchgelesen habe weiß ich, dass es eine 100%-ige Sicherheit nicht geben kann, aber das müsste - für meinen "Sicherheitsbedarf" - dann ausreichend sein.

MfG
TomTau

 

[TeXniXo]

Wichtig ist in dem Fall für mich, dass einen extra hierfür eingerichteten Account geben sollte, der nur auf diesen Ordner Zugriff hat. Diesen darfst du dann nicht woanders anwenden bzw. einbinden.

Außerdem ist es im Prinzip "Backup von Backup" auch zu beachten, dass du rechtzeitig erkennen sollst, dass es nicht korrumpiert wird, bevor es "weitergereicht" wird, sonst sind alle Backup-Sicherungen hin. Daher eher für mich 2 unterschiedliche Sicherungsziele, die abwechselnd/rotierend herangezogen werden, wichtiger.

 

[blurrrr]

Natürlich gibt es ein "sicher" was ein Backup angeht, aber das möchte halt auch niemand bezahlen. Grade das "ergänzenderweise" mit den - nennen wir Sie einfach mal... - Monatsständen ist eine sehr gute Sache, da diese Geräte dann nicht "always-on" sind, sondern nur (zirka) zum Zeitpunkt des Backups verfügbar sind und ansonsten eben "offline" lagern (da kann dann soviel Ransomware durch die Gegend geistern wie et will, an die ext. Platten geht da erstmal garnichts). Damit erreichst Du allerdings eben auch diese "Unerreichbarkeit" von der ich oben sprach (das Backupsystem kann nicht auf das Backup vom Backup zugreifen).

 

[TomTau]

Danke nochmals für die Antworten!
Sicherlich werden sich bis zur Umsetzung noch einige Fragen ergeben, da ich die neue DS noch nicht habe, aber ich sehe schon einmal viel klarer ;-)

Doch noch eine Frage:
Mit welchem "Paket" kann ich die Daten mit der DS213+ von der neuen DS "abholen"?
"Active Backup for Business" läuft darauf ja noch nicht.
Gibt es ein alternatives Programm oder geht es nur von der modernen zur alten NAS?

 

[NSFH]

Es ist ein weit verbreiteter Trugschluss, dass unterschiedliche Accounts mit differenzierten Zugriffsrechten vor Ransomware schützen.
Nach dem ursprünglichen Befall lädt die Ransomware Software nacch, welche u.a. auch Nutzeranmeldungen (auch von Admins) erschnüffelt und automatisiert weiter verwendet.
Da dies alles auf Protokollebene von Netzwerkdiensten abläuft hilft nur ein Backup, welches
- auf Hyperbackup als Programm beruht
- kein Netzwerkprotokoll benutzt und auch keinen der typischen Ports (im Backupserver alles via Syno Firewall unterbunden bzw keine weiteren Apps aktiv)
- IP-technisch auch nicht in dem zu sichernden LAN steht und damit unsichtbar bleibt

Meine Standardlösung ist inzwischen eine einfache, billige Syno in einem anderen IP Bereich und wird vom zu sichernden LAN nur per Hyperbackup-Port plus 5001 für DSM Remote angesprochen.
So hat Ransomware nach heutigem Stand keine Chance.

 

[Jagnix]

Meine Standardlösung ist inzwischen eine einfache, billige Syno in einem anderen IP Bereich und wird vom zu sichernden LAN nur per Hyperbackup-Port plus 5001 für DSM Remote angesprochen.
So hat Ransomware nach heutigem Stand keine Chance.

Kannst du das bitte mal etwas ausführlicher erklären ?

 

[TomTau]

Kannst du das bitte mal etwas ausführlicher erklären ?

Würde mich auch interessieren, da ich es mit diesen Infos nicht schaffen würde einzurichten...

 

[NSFH]

Das Prinzip ist doch simpel:
1 kleine DS mit einer IP ausserhalb des eigenen LAN.
Es wird nur eine App installiert:
- Hyperbackup Vault
Alle anderen Apps werden soweit möglich deinstalliert.
In der Firewall wird alles zugemacht ausser den beiden Ports für Hyperbackup und 5001 für den Remotezugriff.
In der Firewall wird für diese beiden Apps nur die IP der Haupt-Syno sowie eine IP für den direkten Anschluss eines PCs/Notebooks eingetragen um notfalls so noch auf diese DS auf anderem Weg zugreifen zu können.
Das war es am Datensicherungsserver.

In der Haupt-Syno wird benötigt
- 2 Nw-Ports, einer nur für das Backup. Das liesse sich mit einem USB Adapter für die 1-Port Synos nachrüsten. Die beiden Synos werden dann mit einem LAN-Kabel direkt miteinander verbunden.
- DSM Management System
- Hyperbackup
Mit dem Managementsystem wird die Backup-Syno remote betrieben via Port 5001. Das lässt sich zusätzlich noch mit einem Zertifikat schützen.
Hyperbackup wird mit dem Hyperbackup Vault gekoppelt.

Da die beiden Synos nun in unterschiedlichen Netzen laufen und nur über 2 unübliche Ports und wichtig basierend auf nicht routingfähigen Protokollen miteinander kommunizieren kann sich Ransomware hier nicht einklinken.
Werden wirklich Dateien im Hauptsystem, verschlüsselt werden diese natürlich immer noch per Backup gesichert, denn davon merkt Hyperbackup nichts, aber das spielt ja keine Rolle, da alle vorherigen Sicherungen davon nicht betroffen sind weil inkrementell.
Ideal wäre noch, wenn nur der Backupserver die Datensicherung initieren könnte, also ein pull, aber das geht leider (noch?) nicht.

Dieses System ist nicht teurer als die drei verschiedenen Festplatten für die Sicherung via USB für das ansonsten gängige Backupverfahren.
Da reicht schon eine alte gebrauchte Syno von Ebay als Backupserver. Diese kleinen Dinger sind ja fast unverwüstlich. Nur die HDs sollten neu sein, wobei da die langsamste HD ausreicht. Der Backup Server kann auch nach der Datensicherung schlafen geschickt werden, weil er bis zum nächsten Job nicht mehr gebraucht wird.

 

[TomTau]

Simpel ist es für mich nicht gerade, aber ich würde mich daran versuchen ;-)
Danke für die Rückmeldung!

 

[synfor]

Da die beiden Synos nun in unterschiedlichen Netzen laufen und nur über 2 unübliche Ports und wichtig basierend auf nicht routingfähigen Protokollen miteinander kommunizieren kann sich Ransomware hier nicht einklinken.

Apropos "nicht routingfähigen Protokolle", welches schlägst du da als Ersatz für IP vor und funktioniert die Kombi Hyperbackup und Hyperbackup Vault überhaupt mit was anderem?

 

[Jagnix]

Nicht schlecht @NSFH

 

[NSFH]

@synfor: Ja die Hitze. Das sollte nicht "nicht routingfähig" sondern "nicht netzwerkfähig" heissen.
Die Protokolle von DSM und Hyperbackup setzen auf HTTPS auf. Deswegen auch der Hinweis auf die Zertifikatsabsicherung dieser direkten Verbindung zwischen Server und Backupserver.
Die Angriffspunkte von Ransomware sind alle direkt an das Device angeschlossenen Laufwerke, egal ob SATA oder USB sowie alle Netzwerkprotokolle.
Auch zB WebDav wäre gefährdet, wenn man eines dieser Addon Programme nutzt, die WebDav per Laufwerksbuchstaben einbinden!