Backup-Strategie für Langzeit & Ransomware-Schutz

[Pfalztomas]

Hallo zusammen,
ich habe mal eine Frage für folgende Idee, wonach ich natürlich schonmal in den entspr. Foren (vergeblich) gesucht habe, aber vielleicht nicht mit den falschen Schlüsselwörtern:
Ich habe mir überlegt, ob es nicht sinnvoll wäre, ein NAS Laufwerk so zu konfigurieren, dass es eine (oder mehrere) sehr große Festplatte hat, die den aktuellen Datenbestand mehrmals speichern kann und man das Laufwerk so absichert, dass nirgends im Netz die Userdaten für den Admin bekannt oder gespeichert sind, und die normalen Backup-User Daten zwar lesen und schreiben können, jedoch nicht löschen.
Eine entspr. Backup-Software würde z B wöchtentlich 1x sichern und so wäre man ohne Risiko, dass einem eine Ransomware den kompletten Datenbstand löscht. Diese Ransomware könnte zwar die neuesten Daten auf dem Server löschen, aber auf das NAS Laufwerk kommt es ja so nicht (überschreibend) - es wird also eine Version auf dem hier beschriebenen NAS Speicher geben, die nicht "infiziert" ist.
Heute sind Festplatten mit 14, 16 und 18TB und mehr lieferbar und bei z. B. 100GByte (0,1TB) wären das bei Wochensicherung dann immerhin so ca. 180Wochen, mal von inkrementellem Sicherungsmethoden ganz abgesehen..
Gleichzeitig löst man so die Frage nach dem Sichern von Daten, deren Löschung vom Server man z. B. erst ein paar Monate später merkt und diese ggfs. zurückhaben möchte..?
Frage: Ist dieses Szenario denkbar, und vor allen Dingen, ist dieses Szenario sicher genug, um gegen aktuell bekannte Ransomware etc. immun zu sein? (u. a. funktionieren die Berechtigungs-Mechanismen in den NAS Laufwerken (explizites Verbieten von Löschen von Dateien) so gut, dass man das auf sicherer Basis realisieren kann?)
Oder spricht irgendwas dagegen, mal abgesehen davon, dass das wg. der benötigten Speichergröße teuer werden kann?
Dieses Szenario wäre zwar nicht für alle Anwendungen sinnvoll, aber meines Erachtens gibt es schon ein paar Fälle, in denen das gute Dienste leisten könnte..
Besten Dank für Eure Antworten!
Gruß
Tom

 

[NSFH]

Dann hast du entweder schlecht gesucht oder bist zu faul dir die entsprechenden Threads durchzulesen!
Nur so auf die Schnelle https://www.synology-forum.de/threads/emotet-sicheres-backup.107576/

 

[Synchrotron]

Abgesehen davon - so sichert man eher nicht. Im Regelfall häufen wir zwar jede Menge Daten an, es ändern sich zwischen Backups aber nicht viele davon.

Das heißt im Regelfall sichert man nach einer Startsicherung nur noch die Änderungen. Gute Backupprogramme beherrschen dazu die Versionierung. Du kannst auf ältere Dateiversionen zurück gehen, falls eine unbeabsichtigte Änderung erfolgt ist.

 

[Pfalztomas]

Hallo und danke für die Antworten,
na ja, so klar sind sich die Beitragenden nicht auf dem verwiesenen Thread.
Auf die möglichen Sicherungsalgorithmen wie vollständiges oder inkrementelles oder... -versions-Backup wollte ich garnicht eingehen, mir ging es in erster Linie darum, ob die Sicherheitsmechanismen in den DS2xx Laufwerken so gut sind, dass - wenn man allen Usern die Lösch-Rechte entzieht und es keinen Konfigurationszugang im LAN vor Ort gibt - es nicht mehr über andere Wege möglich sein wird, die einmal gespeicherten Daten zu löschen oder zu überschreiben?
Es ist ja keine "Standardberechtigung", sondern die Einstellung "besondere Berechitgungen", in der das Löschen von Dateien verboten wird. Und dabei bin ich mir nicht sicher, ob das so wasserdicht ist, dass wenn sich Hacker auf dem Server oder im LAN "bewegen", die Daten nicht doch überschreiben können?
Gruß Tom

 

[RichardB]

dass nirgends im Netz die Userdaten für den Admin bekannt oder gespeichert sind

Wie soll das gehen? Das Wesen eines Admin ist, dass er alles sieht und auf alles Zugriff hat. Sonst wäre es ja kein Admin.

Ganz klar ist mir Deine Idee immer noch nicht. Nur wenn besagter Hacker sich bereits in Deinem Netz bewegt, wird er imho alles verschlüsseln/löschen können, was ihm so in den Sinn kommt, oder zumindest Schaden anrichten können.

Daher ist Deine Idee imho keine besonders gute. 1-2-3 wäre meine Empfehlung, wenn es wirklich (möglichst) sicher sein soll.

 

[Pfalztomas]

Z. B. einmal einrichten (von einem "fremden" Notebook aus) und ansonsten kein administrativer Zugriff oder gar Speichern der Zugangspasswörter über das LAN, ansonsten zB SMB Zugriff auf das NAS ohne Lösch-Berechtigung (aber lesen und schreiben darf man)
wenn das Laufwerk nur groß genug ist, dann sollte es darauf eine Backup Version von den Daten geben, zu der der Hacker noch nicht aktiv war, also frei von Befall ist. Die neueren Daten sind ja potenziell befallen also zunächstmal ungültig, aber so bleiben wenigstens die Daten in dem Versions-Stand erhalten, zu der der Hacker im LAN nicht aktiv war, meines Erachtens ist das immer so, egal wie wir sichern.
Der Vorteil wäre, man müsste weder eine Zeitschaltuhr (unsicher, der Hacker könnte ja den Backup-Plan des Servers oder PCs sehen) oder USB-Laufwerk (ebenfalls unsicher, wenn der Wechselturnus kürzer als die Inkubationszeit ist) oder RDX o. ä. (die auch gottlob ihren Sinn haben) nutzen, um ältere Versionen zu behalten. RDX&Co sind ja sinnvoll wenn es brennt oder der Einbrecher kommt und alles mitnimmt oder zerstört, die genannte NAS-Methode soll nur den Zweck erfüllen, dass man immer irgendeine - und sei es noch so alte - Version hat, die keinerlei Hackerbefall hat, man also als sicher ansehen kann, beide Szenarien treffen hoffentlich nicht gleichzeitig ein..
Der/die Admin kann ja auf die Daten des 6NAS zugreifen und die Backups gelgentlich prüfen, im Problemfall muss man eben vor Ort das Geschehen mit einem extra Notebook o. ä. anschauen, darauf könnte man ja das Admin-Passwort eingeben, insbesondere, wenn das NAS in diesem Moment nicht im LAN angeschlossen ist.
Das nimmt zwar viel Komfort, aber sollte sicher sein.
Sicher aber nur, wenn die DSxxx Laufwerke kein Hintertürchen haben, über die mal die Daten doch überschreiben kann, und das war meine eigentliche Frage..?
Gruß
Tom

 

[RichardB]

Ein wenig spooky. Denkst Du wirklich, dass Dein Hacker sich vom ersten Byte Deiner "großen" HDD vorarbeiten wird. Und denkst Du wirklich, dass Deine Daten "erst ganz hinten" gespeichert sein werden?

Sorry, Deine Idee erscheint mir ein wenig verworren. Nach einer Backupstrategie sieht das nicht aus. Andererseits ist jeder seines Glückes Scmied.

 

[NSFH]

Der ganze Gedankengang ist so verworren, da mag man schon gar nicht mehr weiter denken. Vergiss deine "spooky" Idee und halte dich an bekannte Backupkonzepte.
Nur eines noch: Wenn jemand auf deiner Kiste Adminrechte bekommt und das ist bei Ransom nicht unüblich hast du mit allen Medien verloren, die gerade im NAS angeschlossen sind, ausnahmslos.

 

[heavy]

1. Ein Hacker/Ransomeware braucht keine "Im LAN" gespeicherte Zugangsdaten denn er nutzt ja in der Regel eine Lücke im System. Gut es gibt auch die einfachen die sich dann einfach der Rechte des angemeldeten Users bedienen. Die könnte man mit nur lese rechten ausperren.

2. Spätestens das Nas muss ja die Admin Daten kennen. Somit wären wir wieder bei der Lücke im System.

3. Kannst du mir mal den Punkt zeigen wo man einem User das schreiben erlauben aber das überschreiben von Daten verbieten kann? Denn bis jetzt war mir nur bekannt, wer schreiben darf kann auch überschreiben und somit indirekt löschen. Was ja die Ransomware meistens macht dass sie die Dateien überschreibt um eine einfaches wiederherstellen zu erschweren/verhindern.

4. Einen nahezu 100% Prozentigen Schutz vor überschreiben/löschen bietet nur wenn der Hacker/die Ransomware keinen physischen Zugriff auf die Daten hat und diese dazu noch auf einem Speichermedium liegen das wirklich nur einmal beschreibbar ist. (DVD/BluRay die aber nach dem Brennen finalisiert werden müssen.)

5. Was du machen kannst um gegen ein versehentliches Löschen gewappnet zu sein ist auf dem Nas einen Copierjob einzurichten der die Daten automatisch in einen Ordner kopiert auf den nur das NAS und der Admin zugriff haben. Vielleicht gibt es ja hier dann auch jemand der weiß wie man das machen kann dass sofort kopiert wird und nicht nach zeitplan, aber auch ein Virus/Ransomware würde so in den Ordner kopiert werden und spätestens beim zurückspielen /zugreifen auf den Ordner wieder Schaden anrichten.

 

[NSFH]

Anmerkung zu Punkt 5:
Da muss man nicht viel tun, es reicht eine scchnell einzurichtende snapshot replication. Die kann in beliebigen zeitlichen Abständen erfolgen, schützt aber nicht vor Ransom wenn der Admin korumpiert wurde.
Alles andere muss über ein Backup Programm gemacht werden, entweder auf externe Medien, Ccloud oder 2.NAS.
Synolgy beschreibt das alles auf seinen Seiten recht gut. Lesen bildet!

 

[mb01]

Naja, Sicherheit ist relativ ... letztendlich ist ein NAS auch nur ein Computer, dessen Hard- wie Software potentiell ausnutzbare Bugs im Code hat, von daher ist ein NAS insgesamt potentiell unsicher. Kann gut sein, dass im DSM-Code irgendwo eine Backdoor schlummert, die Root-Zugriff erlaubt. Die Frage ist halt, wie die eigenen Ansprüche bzw. finanziellen/zeitlichen Ressourcen aussehen, um sich abzusichern bzw. wie wichtig einem welche Daten sind.

Der grundsätzliche Ansatz mit getrennten Usern ist aber schon mal nicht verkehrt: Man nehme einen auf die nötigsten Rechte beschränkten User für den Zugriff auf Netzlaufwerke und einen auf die Backupdurchführung beschränkten User. Den "User mit Adminrechten" nimmt man nur dann, wenn man ihn wirklich braucht und speichert diesen nirgends. Wenn man das Risiko durch Keylogger ausschließen möchte, dann könnte man tatsächlich vielleicht einen separates Notebook einrichten, vermutlich am besten nicht auf Windows-Basis, welches man für Admin-Tätigkeiten am NAS nutzt. Wie schon gesagt wurde, damit hätte man die simplen Trojaner vom Zugriff auf die Backup/Snapshots ausgesperrt. Angenommen, dass NAS-Betriebssystem selbst ist gut abgesichert, dann ist man schon auf der relativ sicheren Seite.

Wenn der Trojaner natürlich auf NAS "spezialisiert" ist und/oder nur entsprechende Lücken im NAS-Betriebssystem ausnutzen kann (QNAP?), dann helfen nur Offline-Backups. Da erfordert das regelmäßige Durchführen bzw. Prüfen natürlich Disziplin. Aber solche Backups muss man ja eh haben, wenn einem seine Daten lieb sind ... was nützt einem sonst der ganze Aufriss um "Trojanerschutz", wenn man dann all seine Daten durch einen Hardwaredefekt verliert. ?

 

[NSFH]

der Thread entwickelt sich zum Laberthread. Zum eigentliche Thema des TE ist alles gesagt.
Viel Spass hier noch.

 

[Pfalztomas]

Danke für die Ausführungen.
Gibt es denn Erkenntnisse, dass die Systeme in Synology Laufwerken gehackt wurden, um das Verhalten des Laufwerks zu ändern, oder an die Daten ranzukommen bzw. überschrieben oder zu löschen, ohne dass ein Admin-Passwort des NAS Laufwerks bekannt war?

 

[isch83]

Guten Morgen,

wie meinst Du das?

Gibt es denn Erkenntnisse, dass die Systeme in Synology Laufwerken gehackt wurden, um das Verhalten des Laufwerks zu ändern, oder an die Daten ranzukommen bzw. überschrieben oder zu löschen, ohne dass ein Admin-Passwort des NAS Laufwerks bekannt war?

Grundsätzlich würde ich mal drei Szenarien für einen Angriff auf ein NAS sehen.

1. Angriff über Freigaben im Netzwerk. Beispiel: Angehängt Laufwerke oder durch identische Passwörter Zugriffsmöglichkeiten auf Laufwerke

2. Angriff über die Admin-Oberfläche
Beispiel: Brute Force auf dein Admin User z.B. mit Portweiterleitung ins Internet

3. Ausnutzung eines Zero Day Exploides
Beispiel: Programmfehler im DSM oder auch im Linux was ermöglicht das eine Anmeldung ohne Passwort möglich ist.

Es gibt bestimmt noch eine ganze Reihe anderer Angriffsszenarien aber die sehe ich für mich nicht so wirklich.

Der Hacker (wie im Fernsehen) der in mein Netzwerk einbricht um Daten zu stehlen oder zu verändern sehe ich für mich nicht. Würde mich vielleicht auch ein bisschen geschmeichelt fühlen wenn ich Ziel eines solchen Hackers wäre ;-)

Meiner Meinung nach legt es Randsom Ware darauf an mehr oder weniger Aufwendig und Vorhallen automatischen ohne menschlichen Eingriff eine hohe Zahl an Nutzern zu verschlüsseln. Damit die Wahrscheinlichkeit hoch ist jemand abzugreifen der bereits ist für seine Daten (wenn er sie denn wieder bekommt) zu bezahlen.

viele Grüße
Isch83

 

[wace]

Um nicht ganz in die Tiefe zu gehen, hier meine Strategie:

Produktiv NAS macht versionierte Backups in ein Target NAS (per VPN und an einem anderen Ort). Somit habe ich Feuer, Wasser und Diebstahl gecovert.
Lokal angeschlossene USB-Disk macht versionierte Backups. Damit habe ich den Totalausfall des Primären NAS gecovert. Die Target NAS steht ziemlich weit weg.
Eine nur 1 Mal im Monat angeschlossene USB-Disk macht ebenfalls versionierte Backups. Hiermit versuche ich Ransomware zu covern. Thema Cold Backup.
Wenn man will kann man jetzt auch noch eine 2. USB-Disk fürs Cold Backup nehmen , aber ich denke das sollte reichen.

 

[isch83]

So ähnlich mache ich das auch:

Primär-NAS mit RAID gegen ausfallen einer Platte. Tägliches Backup intern auf eine zweite Platte um beim recovern von z.B. gelöschten Ordnern Zeit zu sparen falls die Internetverbindung langsam ist.
Tägliches Backup auf ein entferntes NAS per VPN.
Tägliches Backup der wichtigsten Daten in die C2 Cloud (kleinstes Paket für 12€ im Jahr)
Unregelmäßiges Backup auf ein externe Festplatte vom Primär-NAS.

 

[Gulliver]

So ähnlich hab' ich es auch:
1. Tgl lokales USB-Backup der DS1 (Zeitgesteuertes Einschalten der USB-Platte, 5 Min später startet Hyper Backup und wirft die USB anschließend aus. Die Steckdose erkennt dann den standby-Betrieb und schaltet den Strom ab)
2. Tgl Fernbackup via VPN auf entfernte DS2 (dort nur RAID 0, da reine Backup-Aufgabe) und
2a. Tgl lokales USB-Backup der DS2 (An- und Abschalten genau wie unter 1 beschrieben)

Was mir fehlt, ist die Möglichkeit, dass die entfernte DS2 sich das Backup von der DS1 zieht - damit wäre es noch einen Tick sicherer (falls mein System hier kompromittiert würde).

 

[Synchrotron]

Jedes „Push“ Backup ist angreifbar, weil es die Zugangsdaten für das Backupziel benötigt.

Für ein „Pull“-Backup mit Synology Software benötigt man eine Ziel-DS, auf der BTRFS läuft. Das ist die Voraussetzung, um Active Backup for Business einsetzen zu können. Das beherrscht pull, das heißt auf der Quell-DS gibt es keine Zugangsdaten für die Backup-DS. BTRFS heißt eine DS mit IntelCPU - das sind keine EinsteigerDSen mehr, jedenfalls für den Privatbereich.

Drittpakete können Pull ebenfalks, die auch ohne BTRFS.

Das steht detaillierter schon alles oben im Thread, wer sucht der findet.