Möglichst simple (trojanersichere) Datensicherung

[kerku]

Hallo zusammen,

ich würde gerne für einen Verein, der mit mehreren Client Zugriff auf ein NAS (DS218+) hat, möglichst simple zu handhabene Datensicherungen einrichten.
Meine Überlegung ist folgende:
Einrichtung von zusätzlichen Usern ausschließlich für die Backups. Auf den PCs (Windows 10) installiere ich jeweils Cloud Station Backup und richte sie mit diesen Zugangsdaten ein (ungleich zu den Windows-Usern).
Hier werden dann stets die definierten Daten gesichert. Unter den Netzwerkfreigaben sind die /home-Ordner der Backup-User auch nicht zu finden (so soll es sein).

Zusätzlich würde ich mit Duplicati über FTP mit den gleichen Zugangsdaten verschlüsselte zu definierten Zeiten Backups in einen gemeinsamen Ordner, auf den nur dieser User Zugriff, hat erstellen.

Nur Duplicati gefällt mir nicht, weil mir Backuplösungen lieber sind, für die ich im Notfall keine Software benötige, um die Daten wiederherzustellen. Duplicati bietet keine Option, die Backups unkomprimiert durchzuführen.
Cloud Station Backup hingegen scheint die Daten eins zu eins zu kopieren.

Macht das Sinn soweit? Ein Verschlüsselungstrojaner sollte so im Ernstfall docj keinen Zugriff auf die Backup-Ordner haben, oder habe ich irgendwo einen Denkfehler?

Danke schon mal und Gruß!

 

[Perry2000]

USB HD kaufen. 1:1 Kopie drauf, ab stöpseln, wenn möglich extern lagern.
Je nach dem wie oft die Daten geändert werden Täglich, Wöchentlich oder Monatlich wiederholen.
Vorteil: Sicher auch wenn's mal brennt oder die DS abraucht.

Ich sichere zum Bleistift täglich über VPN an einen externen Standort und Monatlich auf eine USB HD.

Eine Sicherung auf der DS alleine wäre sowieso keine Sicherung. Aber Du findest massenhaft Sicherungsthemen hier im Forum ;-)

 

[Matthieu]

Wirkliche Hilfe gegen Crypto-Trojaner und dergleichen bietet IMHO nur physisch abstöpseln oder versioniert sichern*. Wenn du versionierst und das nach festem Zeitplan und nicht Anzahl an Versionen, solltest du genug Zeit einplanen um die letzte nicht befallene Sicherung wiederherzustellen. Ich mache das mit 2 DSen so. Auf einer arbeite ich, die andere hält die versionierten Backups vor. Da viele Daten auch einmalig abgelegt und kaum bis gar nicht geändert werden, hält sich der Mehrbedarf an Speicher sehr in Grenzen. Wenn ein Crypto-Trojaner zuschlägt merke ich das allein schon daran, dass der Plattenplatz auf der Backup-DS plötzlich voll wäre. Denn genug für eine komplette Version über alle Daten ist nicht auf den Platten (ist auch nicht notwendig weil z.B. Filme nicht geändert werden).

* Der potenziell befallene User darf keinen Zugriff auf die älteren Versionen haben, sonst kann der Trojaner die alten Versionen gleich mit verschlüsseln!

MfG Matthieu

 

[dil88]

+1, wobei ich die Versionierung auch dann für sinnvoll halte, wenn man abstöpselt, es sei denn, man überprüft seine Daten, bevor man sichert. Ansonsten kann ichs nicht besser auf den Punkt bringen, als Matthieu das getan hat.

 

[kerku]

Erst einmal vielen Dank für die schnellen Antworten!

Dass noch ein Backup von der DS auf externe USB-Platten (oder möglicherweise auch auf einen externen Server / zweite DS) erfolgen sollte, habe ich bei meine Überlegung jetzt erst mal ausgespart, aber angedacht. (Habe noch das Problem, dass ich nicht selbst vor Ort bin, also ist das noch ein organisatorisches Problem, von wegen An- und Abstöpseln...) Hier würde ich wohl Hyper-Backup nutzen. UltimateBackup klingt auch gut, kam aber noch nicht dazu, mich damit zu beschäftigen.

Mir geht es wirklich erst einmal nur um ein Backup der Daten auf den Clients, das möglichst simpel für die AnwenderInnen bedienbar sein soll. Oder eben automatisch läuft.

Konkret interessiert mich eure Einschätzung bezüglich der ungewollten Erreichbarkeit des Backup-Ordners über die Netzwerkfreigaben:

Ich habe das bei mir lokal getestet: einen eigenen Benutzer XYZ angelegt, der nichts mit dem angemeldeten Windows-Benutzer ABC zu tun hat. Dessen Zugangsdaten (von XYZ) habe ich für Cloud Station Backup genutzt. In der Netzwerkumgebung ist der Home-Ordner dieses reinen Backup-Users nicht zu finden. Also würde ich vermuten, dass auch ein Trojaner diesen Ordner nicht angreifen kann, oder?
Da hier eine Versionierung erfolgt, sollten die Daten, auch wenn sie lokal mittlerweile verschlüsselt und dann ebenfalls so ins Backup übertragen wurden, aus früheren Backups wieder hergestellt werden können.

Mir ist klar, dass das Forum voll zu diesem Thema ist, und ich lese hier auch schon eine ganze Zeitlang mit. Mir würde es wirklich helfen, wenn ich gerade dies Frage bzgl. der Erreichbarkeit über die Netzwerkfreigaben für mich geklärt bekomme.

 

[Matthieu]

Sicherer als nur zu schauen, ob man etwas "sehen" kann, ist die direkte Prüfung auf den Pfad. Also Pfadnamen kopieren und mit den anderen Rechten versuchen aufzurufen. Rein hypothetisch könnte ein Schädling auch wild Pfade ausprobieren. Mir wäre neu dass soetwas gemacht wird, aber es ist technisch problemlos möglich.

MfG Matthieu

 

[kerku]

Ok, das habe ich soeben mal probiert (schlicht mit den jeweils angemeldeten Windows-Benutzern, egal ob Adminrechte oder nicht) und wurde jedesmal aufgefordert, Zugangsdaten einzugeben. Also sollte das so klappen.

Was das zusätzliche Backup vom Backup (NAS -> Extern) angeht, habe ich mir eben die Hilfe zu USB-Copy angeschaut. Das sieht doch gut aus. Auch hier gibt es die Möglichkeit, mehrere Versionen zu behalten und diverse Optionen, um z.B. eine Kopieraktion nur dann zu starten, wenn ein bestimmter USB-Datenträger angesteckt wird.
Klingt für das, was ich mir so vorgestellt habe, optimal. Das NAS piepst, wenn es fertig ist, und das USB-Teil kann wieder abgezogen werden.

Danke schön für die Hilfe!

 

[kerku]

Nur mal so der Vollständigkeit halber:
USBCoby habe ich dann doch verworfen, da hier nur jeweils ein Ordner zur Sicherung ausgewählt werden kann. Alternativ habe ich Ultimate Backup in Kombination mit Autorun auspobiert:
http://www.synology-forum.de/showthread.html?78115-Ultimate-Backup

Was soll ich sagen? Funzt

 

[peterhoffmann]

Das System der "nicht erreichbaren Pfade" vom Backup praktiziere ich auch. Das klappt wunderbar.

Wobei ich mir da bei mir weniger Sorgen mache. Ein Kollege wiederum hat eine DS in der Firma, die an vier PCs angebunden ist. Der "Einfachheit" halber wurschteln alle vier Mitarbeiter im gleichen Pfad (1 gemeinsamer Ordner) rum. Wenn da einer Mist baut und sich was einfängt, rappelts im Karton. Diese Arbeitsweise konnte ich ihnen aber nicht abgewöhnen. Daher habe ich wenigstens die Backupstrategie (1. Backup versteckter Pfad + 2. Backup extern) so gebaut, dass das die Rettung sein kann.

Ich hatte auch mal solche Gedanken vom Anlegen eines Honeypots um die Zeit bis zur Entdeckung einer Ransomware zu verkürzen und das Schlimmste zu verhindern.

Für einen Honeypot könnte man 4 ausgewählte Dateien (jpg, docx, xlsx, txt) ins Hauptverzeichnis vom Pfad legen, der vom PC erreichbar ist. Und die DS vergleicht in festen Zeitabständen diese 4 Dateien mit den gleichen 4 Dateien in einem anderen (nicht zugänglichen) Verzeichnis. Bei Änderungen benachrichtigt sie, je nach Szenario und Wunsch fährt sie sofort runter.