Krypto-Trojaner sicheres Backup

[Nutzer1]

Hallo,
wir wollen uns den DS218+ kaufen als Datengrab und auch als Sicherungslaufwerk.

Angenommen ich erstelle einen Netzwerkordner für alle Workstations (Datengrab) und einen weiteren Netzwerkordner nur für eine Server-Sicherung (mit anderem Benutzer/Kennzwort).
Diese Server-Sicherung vom NAS würde ich zusätzlich vom NAS ins Onedrive (jede Nacht) hochladen lassen. So wie ich das gelesen habe ist das für den DS218+ kein Problem.

Wären wir so sicher gegen einen Krypto-Trojaner bezüglich der Server Datensicherung ?

Eine Infizierung würde von einer Workstation ausgehen und würde sich bis zum "Datengrab" ausbreiten, zumindest theoretisch.
Könnte der (von der Workstation nicht einsehbare) Sicherungsordner auf dem NAS überhaupt infiziert werden??

Das Datengrab würde ich ebenfalls in ein anderes Onedrive Konto sichern.

P.S. sehe gerade dass "Hyperbackup" Onedrive nicht unterstützt.

Welchen Anbieter der unterstützt wird empfehlt ihr denn ?

 

[Puppetmaster]

Immer vom schlimmsten ausgehen und dabei nicht ausschließen, dass Lücken im System den Schad-Nutzer mit root ähnlichen Berechtigungen ausstatten könnten. Dann ist auch die Berechtigungssperre keine Hürde mehr.

Ausserdem: irgendwer wird irgendwann auch einmal diese Benutzerdaten irgendwo eingeben (müssen), wenn eine Schadsoftware dann mitlauscht, bekommst du das nicht unbedingt mit.

Die Empfehlung kann eigentlich nur in Richtung mehrfacher Backups auf unterschiedlichen Wegen lauten, am besten rotierend, so dass man im Zeifel immer noch ein älteres Backup hat.

 

[Nutzer1]

Also externe USB HDD direkt an den NAS und dort Hyperbackup mit anschließendem automatischen Auswurf zum Schutz vor Kryptotrojanern. Am besten Mehrere.

In der ct habe ich noch folgendes gelesen:
Eine reine FTP Freigabe am NAS erstellen und den Server per "Dublicati" per FTP täglich sichern.
Die Kryptotrojaner können kein FTP angeblich.

 

[Fusion]

Nehme mal an du beziehst dich hierauf:
https://www.heise.de/select/ct/2016/11/1464255473415047

Trojaner Sicher betrifft hier nicht das Protokoll, sondern die Tatsache, dass man sich versionierte Backups mit einem anderen Benutzer anlegt. Diese müssen allerdings am Ziel nochmal gesichert werden.
Wenn der Backup Benutzer einfach alle Backups überschreiben kann, dann kann es auch ein Trojaner der sich Huckpack einschleicht.
Finde hier einige Stellen im Artikel sind echt unsauber formuliert.
Wie viel Trojaner-Schreiber aktuell investieren in die "Intelligenz" oder Vielfältigkeit kann ich nicht beurteilen.

Ist der Trojaner intelligent genug hilft nur Benutzer und Backup von Daten von einem anderen System aus zu starten.
Sprich vom Backup-Ziel aus mit einem Benutzer lesend auf die zu sichernden Daten zuzugreifen und versioniert zu sichern.
Dann kann ein Trojaner auf dem Client System maximal die aktuellen Daten beschädigen, aber nicht ältere Backup-Stände.

 

[Nutzer1]

https://www.heise.de/select/ct/2016/7/1459415839135159

Fast

 

[Matthieu]

Die Empfehlung kann eigentlich nur in Richtung mehrfacher Backups auf unterschiedlichen Wegen lauten, am besten rotierend, so dass man im Zeifel immer noch ein älteres Backup hat.

Besser kann man es kaum formulieren. Am besten physisch und logisch getrennt, versionierend sichern. Auf aktuell bestehende Verhaltensweisen von Schadsoftware sollte man sich tunlichst nicht verlassen.
Übrigens: Active Backup for Business kann einen Dateiserver via Pull sichern. Damit erschlägt man schon viele Anforderungen, sofern man bereit ist sich dafür eine zweite DS zu leisten.

MfG Matthieu

 

[Nutzer1]

Also bleibt eigentlich nichts übrig außer RDX Laufwerk

 

[weyon]

Oder USB Platten selber durchwechseln, ist billiger als RDX

 

[Nutzer1]

das stimmt, die Preise sind echt happig für RDX.

Also täglich oder wöchentlich ein Hyperbackup auf eine bzw. diverse externe USB Festplatten.
"Schmeißt" Hyperbackup am Ende die externe Festplatte raus ?

Wenn das RDX ausgeworfen wurde, kann keine Schadsoftware sie wieder reinholen.

 

[weyon]

Ja. Kann man einstellen das nach Hyperbackup die USB Platte ausgeworfen wird.

 

[rednag]

Und welchen Bezug hat das zum Thema?

 

[Speicherriese]

Ich klinke mich mal hier ein. Da in anderen Beiträgen ja bereits User aktuell mit einem Verschlüsselungstrojaner heimgesucht wurden, werde ich jetzt bei mir aufrüsten. Ich lege mir eine DS 218+ nur zur Datensicherung zu, die natürlich komplett räumlich getrennt ist und sogar außer Haus ist um auch bei einem evtl. Brand, oder Diebstahl der NAS noch als Rettungsanker dient. Diese soll dann mit Active Backup for Business die Daten von meiner jetzigen NAS 918+ über Nacht ziehen. Die Frage ist nur, ob dies so geht und ob dies schon jemand genaus so im Einsatz hat.
Wenn ja, bräuchte ich, wenn es möglich ist eine Kurzanleitung was man hier auf der Backupseite alles einstellen muss. Vor allem würde mich auch interessieren, ob im Notfall auch ein Desaster Recovering vom ursprünglichen System DS 918+ mit allen Einstellungen, Aps, Daten usw möglich ist. ( Bei einer Sicherung eines PCs über Active Backup for Business geht dies ja mit einem dafür erstellten Synology Bootdatenträger)

 

[NSFH]

Backup for business ist in meinen Augen für eine entfernte Datensicherung nicht wirklich das Gelbe vom Ei da hier der Traffic recht hoch ist. Die Übertragungsmenge für die tägliche Sicherung sollte man so gering wie möglich halten und da dein NAS BTRFS kann gehts auch anders. Wegen dem fehlenden Pull von HB habe ich eine andere Lösung umgesetzt.