Einfaches Pull Backup mit Drive ShareSync & Hyper Backup - Denkfehler oder machbar?

[curt]

Hallo,
ich habe das folgende in einem Test nachgestellt, finde es eigentlich brauchbar, stelle es aber hier mal zur Diskussion. Man ist ja nicht fehlerfrei.


Ziel ist es eine offsite Sicherung von "NAS1" zu haben, für den Fall, dass dieses von Ransomware befallen wird und gleichzeitig das Dach einstürzt.
Außerdem sollen auf dem Haupt NAS, im Fall eines Befalls, keine Zugriffsdaten des anderen Backup NAS gespeichert werden.

Die Spieler:
NAS1 (der Datenursprung, die wichtigen Dokumente), mit Quellordner N1, Zugriff hat 1 lokaler Account und der Admin.
Installiert ist dort DSM7, mit Drive, der Quellordner N1 ist in Drive aktiviert, Versionierung sei jetzt mal ausgeschaltet...

NAS2Offsite steht irgendwo außerhalb und greift zB per Quickconnect und Drive ShareSync auf NAS1 zu.
Der Zugriff erfolgt über das Konto von NAS1, mit dem Berechtigten Account, eingestellt ist "Nur Download", die Inhalte von NAS1 kommen fast in Echtzeit an.

Das hört sich für mich erstmal nach PULL (aus Sicht von NAS2Offsite an)

Im Falle einer Ransomwareattacke auf NAS1 wird das gesamte System kompromittiert, und alle Dateien als zB 7zip verschlüsselt.
Dank Drive hat man den Salat nun auch auf NAS2Offsite. Klar.

Was aber wenn auf NAS2Offsite ein Hyper Backup läuft?
Aus meiner Sicht, ist hier ein versioniertes Backup von NAS1 enthalten, auch wenn dieses den Bach runtergeht.

Meinungen?

Die Accountdaten von NAS2Offsite sind NAS1 nicht bekannt. Oder? Denn ansonsten wäre es Asche...
Ich habe die Verknüpfung zwar unter einem administrativen Konto erstellt, aber mit den Anmeldedaten die es nur auf NAS1 gibt.
Maximal könnte in NAS1 die IPadresse der Gegenverbindung stehen.


Hier nochmal die Einzelschritte
1. NAS1 hat einen freigegebenen Ordner "ORIGINALDATEN", und einen lokalen Account "UserO" der dort Rechte hat
2. Auf NAS1 wird Synology Drive installiert, der Ordner wird dort aktiviert
3. Auf NAS2Offsite wird ein Zielordner angelegt "DatenvonNas1", außerdem wird auch hier das Paket Synology Drive Server installiert, gestartet wird aber nur die Unterapp Drive ShareSync
4. Über Drive ShareSync verbindet man sich von NAS2Offsite mit NAS1, unter dem Account/PW des dortigen UserO. Der Ordner "Originaldaten" wird freudig angeboten.
5. In den Feineinstellungen der Verbindung wird der Zielordner "DatenvonNas1" auf NAS2Offsite angegeben, damit kein neuer Ordner erstellt wird. Außerdem wird "nur Herunterladen", als unidirektionale Verbindung gesetzt.
...die Daten fließen...
6. Auf NAS2Offsite wird Hyperbackup gestartet und ein neuer Job mit Versionierung von "DatenvonNas1" erstellt. Zielordner ist irgendeiner auf den NAS selbst, einer USB Platte, Cloud...egal... immerhin 1x täglich....

 

[plang.pl]

als zB 7zip

Das hat nix mit 7zip zu tun.

PULL

Drive ShareSync macht Synchronisierung und kein Backup. Daher gibt der Begriff in dem Kontext keinen Sinn.

NAS2Offsite ein Hyper Backup läuft?

Wenn du die versionierte Datensicherung aktiviert hast, dann hast du noch die unverschlüsselte Vorversion (es sei denn, die wird durch ein rotierendes Versionssystem automatisch gelöscht).

Denn ansonsten wäre es Asche...

Das das NAS von der Ransomware verschlüsselt wird, ist schon wahrscheinlich. Wenn du aber auf dem Client Rechner NICHT die Zugangsdaten zum NAS2 gespeichert hast, dann ist es eher unwahrscheinlich, dass die Ransomware es auf NAS2 schafft. Sie müsste von einem Windows Rechner aus ein Linux System infizieren, dann das PW auslesen und sich auf Server 2 einloggen und verschlüsseln. Also auf NAS2/Backup-NAS SMB/FTP/WASAUCHIMMER Zugriff sperren. An dieser Stelle sei gesagt: Hyper Backup führt ein PUSH und kein PULL-Backup durch.

Ich verwende zusätzlich zum Backup-NAS noch eine externe HDD, die ich direkt ans NAS anschließe, nachdem ich mich nach der augesncheinlichen Sicherheit vergewissert habe. Die Platte hängt auch nur während des Backups und ansonsten nicht.

 

[curt]

Das hat nix mit 7zip zu tun.

weiss ich, ich wollte es nur anschaulich machen.

Drive ShareSync macht Synchronisierung und kein Backup. Daher gibt der Begriff in dem Kontext keinen Sinn.

Als Teil des Konstruktes für eine einfache Lösung mit Bordmitteln.... aber ich will das jetzt nicht am Begriff kleinreden. Um ein sicheres Backup zu erzeugen, über ein System das nicht Gefahr läuft übernommen zu werden, muss ich die Daten halt irgendwie erstmal in diesen sicheren Hafen bewegen. Also quasi rausziehen. Indem ich die ShareSync aus dieser Richtung aufbaue. Es ginge ja letztlich auch umgekehrt.

Wenn du die versionierte Datensicherung aktiviert hast, dann hast du noch die unverschlüsselte Vorversion (es sei denn, die wird durch ein rotierendes Versionssystem automatisch gelöscht).

genau. Hurra. So auch meine Tests.

Das das NAS von der Ransomware verschlüsselt wird, ist schon wahrscheinlich. Wenn du aber auf dem Client Rechner NICHT die Zugangsdaten zum NAS2 gespeichert hast, dann ist es eher unwahrscheinlich, dass die Ransomware es auf NAS2 schafft.

Exakt. Das gilt es zu vermeiden.

Sie müsste von einem Windows Rechner aus ein Linux System infizieren, dann das PW auslesen und sich auf Server 2 einloggen und verschlüsseln. Also auf NAS2/Backup-NAS SMB/FTP/WASAUCHIMMER Zugriff sperren. An dieser Stelle sei gesagt: Hyper Backup führt ein PUSH und kein PULL-Backup durch.

Ja. Und in meinem Beispiel vom sicheren NAS2 in einem anderen Netzwerk. Natürlich gibt es einen Schwachpunkt: falls eine Zero Day Attacke NAS1 überfällt, könnte sie auch NAS2 genauso treffen. In diversen Beiträgen wird davon geschrieben, daher Backup NAS nur kurzzeitig laufen zu lassen.

Ich verwende zusätzlich zum Backup-NAS noch eine externe HDD, die ich direkt ans NAS anschließe, nachdem ich mich nach der augesncheinlichen Sicherheit vergewissert habe. Die Platte hängt auch nur während des Backups und ansonsten nicht.

Ich bin da theoretisch voll bei Dir. In der Praxis würde ich es nicht immer schaffen.

 

[Gulliver]

Wenn du aber auf dem Client Rechner NICHT die Zugangsdaten zum NAS2 gespeichert hast, dann ist es eher unwahrscheinlich, dass die Ransomware es auf NAS2 schafft.

Vermutlich liegt hier ein Hund begraben. Wenn nämlich die Quelle des Trojaners dein PC ist, mit dem du auf NAS1 und NAS2Offsite zugreifst...
Man könnte NAS2Offsite ausschliesslich mit einem Tails-gebooteten PC einrichten und aufsuchen.

Aber der Grundstein zum PWA (Pull Workaround) ist gelegt. Obiges gilt nämlich auch für echt gepullte Backups.

Kann ein trojanisch gesteuertes NAS1 die Quickconnect-Verbindung eigentlich abseits des DriveShareSync nutzen, um sich auf die Gegenstelle zu transferieren?

 

[curt]

Vermutlich liegt hier ein Hund begraben. Wenn nämlich die Quelle des Trojaners dein PC ist, mit dem du auf NAS1 und NAS2Offsite zugreifst...
Man könnte NAS2Offsite ausschliesslich mit einem Tails-gebooteten PC einrichten und aufsuchen.

Also erstmal gefällt mir der Ausdruck PWA / Pull WORKAROUND sehr gut. Gerne auch jetzt mal ein kleiner Ausflug in die Schädlingsecke

• Klassiker: Trojaner/Ransomware auf PC im Netzwerk, zerhackt alle USB Geräte und Netzwerkshares -- versuche ich über ein Hyper Backup abzufangen, das in einem non share Laufwerk unter anderen Benutzerdaten liegt. Ein lokal gespeichertes Admin PW für das NAS würde das evtl. aushebeln.
• Ein Schädling der lokal aktiv ist, verschlüsselt und/oder auch gezielt nach lokalen NAS sucht um dort das System aufzuknacken, kann es geben, kennt jemand Beispiele?
• Mein Hauptgrund ist aktuell Variante 3: Ein Zugriff von Außen über z.B. eine Zero Day Lücke. Beispielsweise auf Geräte die per Portfreigabe erreichbar sind.
  
  Dazu ein kleiner Ausflug zur anderen Seite, da es bei Synology glücklicherweise etwas ruhiger ist.
  Die QNAP Systeme sind ja im letzten Jahr stark durch die Security Presse gegangen. Im April/Mai 2021 hat der Qlocker zugeschlagen.
  
  https://www.ikarussecurity.com/security-news/qlocker/
  
  https://www.heise.de/news/Qnap-sichert-NAS-spaet-gegen-Qlocker-Attacken-ab-6052783.html
  
  Nun hat Qnap eine Meldung aus April aktualisiert und gibt an, das eine als "kritisch" eingestufte Sicherheitslücke (CVE-2021-28799) in Hybrid Backup Sync (HBS) die Ursache für die Attacken ist. Dabei handelt es sich um einen Account mit hart-codierten Zugangsdaten, über den die Angreifer über das Internet Zugriff auf Systeme bekommen haben.
  
  D.h. nicht nur, dass es kracht, es ist auch noch ausgerechnet die App die für Backups zuständig ist (vielleicht hat das aber auch eher psychologische Bedeutung )
  
  Unlängst ist der Qlocker um den 6.1.2022 in eine neue Runde eingestiegen, Qlocker 2 sozusagen, und hat bei einem Bekannten ca 10% der Daten verschlüsselt.
  
  Ob der Schädling mit unter Umständen Adminrechten, wie wohl im oberen Fall, dann etwas mit auf dem NAS gespeicherten Zugangsdaten für andere Systeme anfangen kann und sich wurmartig verbreitet......ja... vielleicht, vielleicht nicht... in den hier oft gut diskutierten Beiträgen zu Pull Backup gibt es ja auch Lösungsvorschläge. Aber so richtig einfach für einen Normaluser, oder einen Bekannten dem man einrichten möchte, ohne dann konstant den Freizeitadmin spielen zu wollen, ist das halt nicht.

Aber der Grundstein zum PWA (Pull Workaround) ist gelegt. Obiges gilt nämlich auch für echt gepullte Backups.

Kann ein trojanisch gesteuertes NAS1 die Quickconnect-Verbindung eigentlich abseits des DriveShareSync nutzen, um sich auf die Gegenstelle zu transferieren?

Gute Frage. Wenn ich von Außen, auf NASZWEI die Verbindung aufbaue, d.h. die Quickconnect ID des NAS1 eingebe, steht dort zumindest meine IP Adresse. (Ich muss aber nicht zwingend eine eigene Quickconnect ID für das zweite NAS haben).

 

[tokon]

6. Auf NAS2Offsite wird Hyperbackup gestartet und ein neuer Job mit Versionierung von "DatenvonNas1" erstellt. Zielordner ist irgendeiner auf den NAS selbst, einer USB Platte, Cloud...egal... immerhin 1x täglich....

Geht in diese Richtung m.W. mit Hyper Backup nicht. Wäre nur mit Active Backup for Business möglich.

 

[curt]

Geht in diese Richtung m.W. mit Hyper Backup nicht. Wäre nur mit Active Backup for Business möglich.

Die Daten liegen in meinem Beispiel bereits auf dem zweiten NAS. Dort wird HyperBackup gestartet und ballert sie...wohin auch immer. Der vorherige Drive Schritt dient dem Mangel von Hyper Backup zu pullen...

 

[ReenBerlin]

Hallo curt,

statt mit Hyper Backup könntest Du im NAS2 auch einfach automatisch Snapshots erstellen lassen.

Bei mir sichert NAS1 mit Hyper Backup auf NAS2. D. h. ich habe keine Pull Backups und das PW zum Anmelden auf NAS2 ist auf dem NAS1 gespeichert.

Das ist für mich in Ordnung, da das Userkonto für die Offsite-Sicherung kein Administratorkonto auf NAS2 ist. Es hat nur minimale Rechte, d. h. nur Schreibzugriff auf den Zielordner und Zugriff auf Hyper Backup Vault, kein DSM Zugriff, keine anderen Anwendungen.

Nur mit dem Administratorkonto auf NAS2 hat man Zugriff auf die Snapshots vom Hyper Backup.

Mit der Lösung fühle ich mich wohl, auch wenn es kein Pull Backup ist.

Ein weitere Vorteil ist die Sicherung mit Hyper Backup über das Internet. Versioniert, verschlüsselt, komprimiert, Deduplizierung und Integritätsprüfung sind schon ziemlich cool.

Aber Deine Lösung klingt auch gut, allerdings habe ich mit Drive nicht viel zu tun, kann es daher nicht gut beurteilen.

Viele Grüße
René

 

[plang.pl]

Das Wichtigste ist wie gesagt, dass das Backup NAS die Pforten geschlossen hält (Dateidienste SMB, FTP, AFP usw ausschalten und Firewall Schotten dicht machen). Du lässt dann nur den Hyper Backup Port offen und den fürs Webinterface.

 

[curt]

Bei mir sichert NAS1 mit Hyper Backup auf NAS2. D. h. ich habe keine Pull Backups und das PW zum Anmelden auf NAS2 ist auf dem NAS1 gespeichert.
Das ist für mich in Ordnung, da das Userkonto für die Offsite-Sicherung kein Administratorkonto auf NAS2 ist. Es hat nur minimale Rechte, d. h. nur Schreibzugriff auf den Zielordner und Zugriff auf Hyper Backup Vault, kein DSM Zugriff, keine anderen Anwendungen.

D.h. aber, dass sich dein NAS2 entweder im gleichen Netzwerk (gleiche Lokation) befindet, was ich nicht möchte, aber vielleicht hast Du ja auch ein VPN, dann wäre es wieder okay.
Oder Du nutzt DDNS und eine Portweiterleitung im NAS2 Netzwerk/Router. Was ich aber ebenfalls vermeiden möchte...ich finde Quickconnect generell als Renn-Esel sehr angenehm. Und wirklich schade, dass es mit HyperBackup nicht geht. Die sonstigen Hyper Backup Vorteile will ich nicht missen, daher läuft es auf NAS2... Du kannst ja mal meine obige Schritt-für-Schritt Anleitung testen um mit Drive mehr Kontakt zu bekommen.

 

[Tommes]

Ich möchte nur kurz erwähnen, das Basic Backup (siehe meine Signatur) über eine SSH-Verbindung PULL und PUSH Backups auf Basis von rsync ausführen kann. Die Verbindung erfolgt hierbei ausschließlich vom lokalen Server, sprich der DS aus. Wer will, kann das ja mal testen und schauen, ob es zusagt und/oder gefällt.

Tommes