NAS wirksam vor Ransomware schützen?

[ruby]

Hallo liebes Forum!

Mich beschäftigt zunehmend die Optimierung der Sicherung meines Netzwerks. Derzeit läuft bei mir eine DS720+, auf die ich regelmäßig die wichtigen Daten meiner PCs synchronisiere. Davon gibt es HyperBackups auf eine DS114 und daran angeschlossene HDDs. Zusätzlich läuft die DS720+ als Medienserver und Ablage für meine Familie (Homes-Ordner). Natürlich gibt es auch Netzlaufwerkverbindungen, teilweise auch mit Adminrechten.

Backup-HDD werden derzeit nicht physisch rotiert und auch die regelmäßigen Wiederherstellungstests überfordern einen privaten Haushalt. Alle bisher bei Bedarf zurückgespielten Daten waren aber intakt, entweder mit Hyperbackup oder manuell von den USB-Datenträgern.

Nun nähere ich mich dem Thema Ransomware. Da diese angeblich bis zu einem Vierteljahr unentdeckt bleiben kann, mag es passieren, dass ich erst nach Wochen merke, dass meine Backup-Medien schon verschlüsselt sind, und wenn dann der Tag X eintritt und ich keinen Zugriff mehr auf irgendwas habe (so mein Albtraum), ist mein ganzes Backup-System für die Katz‘ gewesen, selbst wenn ich HDDs physisch rotiert hätte.

Seit DSM 7.2 und WORM (was leider auf meiner DS114 nicht läuft) frage ich mich, ob sich damit nicht eine Hintertür gegen Ransomeware basteln lässt. Allerdings habe ich das System dahinter noch nicht ganz durchschaut. Mit Snapshots habe ich auch noch keine Erfahrungen gemacht.

Bringt es z.B. etwas, Snapshots etwa auf der zweiten HDD innerhalb DS720+ mit WORM zu schützen? Oder ist das unnütz, weil die von der Ransomware trotzdem komplett gesperrt wäre? Oder sollte ich gänzlich andere Wege beschreiten?

Bitte nicht schlagen wegen meines Halbwissens – ich arbeite mich immer jeweils nach Kräften in ein neues Thema ein, habe aber derzeit nicht die Ressourcen, das Thema NAS systematisch vollumfänglich zu erlernen.

Freue mich über Euren Input.



Gruß, ruby

 

[wegomyway]

Auch wenn ich nur 08/15 dazu beitragen kann, ich geb dieses wie ich es denke.
Alle User auch Admin, starke Passwörter (ordentlich lang mit min 20 Zeichen und alles drin was nur geht) und mit 2FA.
Admin nur wenn Notwendigkeit besteht wird eingeloggt.
Die Passwörter natürlich völlig anders und nix doppelt.
Wenn externer Zugriff, sei es über mobile Apps oder aus anderem WLan/Lan, Wireguard-VPN einrichten und vor allem auch aktiv nutzen (da muss halt ne Fritzbox on Board sein).
Zu den Passwörtern, da hilft ein Manager. Am Ende da alles rein und man muss nur. noch ein Masterpass sich merken. Aber auch dieses schön lang mit allem an Zeichen etc. was geht. Auch hier geht es mit 2FA.
Für den Rest werden die Kompetenzen sich noch einbringen.
Vielleicht noch nen geiler Spruch, der seine Berechtigung nicht verfehlt :
Das Problem sitzt häufig 50cm vom Display entfernt und ist der DAU.
Vielleicht ist meines hier auch etwas vorbei am Thema.

 

[maxblank]

Immutable Snapshots auf der DS720+ nutzen.

https://kb.synology.com/de-de/DSM/tutorial/what_is_an_immutable_snapshot

 

[Synchrotron]

Das größere Problem ist nicht das NAS.

Das größere Problem sind (Windows-) PCs. Einmal weil sie als dominierendes OS am ehesten angegriffen werden.

Zweitens weil in ihnen eine unfassbare Anzahl von Exploits nur darauf wartet, in die richtig falschen Hände zu gelangen, und ausgenutzt zu werden.

Drittens weil sie die Geräte sind, die man wahrscheinlich benutzt, wenn man auf einen Phishing-Schmu reinfällt.

Die DS ist nachrangig. Nicht über Ports zum Internet öffnen, sichere (Admin) User einrichten (PW+2FA), wenn möglich Immutable Snapshots aufsetzen.

Und immer schön 3-2-1 Backups in der Hinterhand haben. Man gönnt sich ja auch sonst alles !

 

[metalworker]

Synchrotron hat das meiste ja schon gesagt.

Wichtig ist das User die mit Backups arbeiten können, nicht die gleichen Sind mit denen du normal Arbeitest.

Damit deine Backups nicht verschlüsselt werden können wenn dein Client infiziert wird.

 

[stevenfreiburg]

Mir war das meiste bisher zu kompliziert. Zusätzlich zum Backup auf externer HDD wollte ich zumindest noch ein Backup an einem anderen Ort. Deswegen habe 10 TB "lifetime" bei PCloud gekauft (ca. 1.000 US $). Keine Abokosten, hat sich gegenüber meinem früheren Dropboxabo bereits ausgezahlt.
Synology Cloudsync macht regelmäßig Backup auf pcloud.
Pcloud bietet als addon eine extended file history, "time machine" sozusagen, eine Versionierung, die 1 Jahr zurückreicht. Die Sicherheit und Bequemlichkeit ist mir die ca. 6 US $ Kosten pro Monat wert.


Zusätzlich: Das "Pull Backup" Konzept mit basic backup von Tommes hat mich überzeugt, das werde ich in Kürze einrichten.

 

[ruby]

Windows-PCs sind in unserem Netzwerk nicht vermeidbar, und Cloud-Lösungen aus verschiedenen Gründen keine Option. Und als "Remote Server" kann ich nur eine andere DS114 nutzen, die aber kein WORM unetstützt.
Das mit den Schnappschüssen klingt daher nach einer sinnvollen Ergänzung.

Aber: Wenn ich (um die WORM-Technologie nutzen zu können) die Schnappschüsse auf der zweiten HDD meiner DS720+ einrichte, kann es dann nicht passieren, dass diese von Ransomeware komplett verschlüsselt wird (also alle Platten inkl. OS)? Dann nützen mir doch die Schnappschüsse nichts - oder habe ich da was falsch verstanden?

 

[patrickn]

Snapshots können nicht mal von Administratoren verändert werden, auch bei normalen. Da muss dann schon extrem viel im argen sein, wenn der "Angreifer" schon als root unterwegs ist.

 

[NSFH]

eineige Basics sind ganz nett hier erklärt: https://www.youtube.com/watch?v=U_2u4P8TCgg

 

[Flessi]

Wenn man verhindern will, dass jemand, der Zugang zum NAS erlangt hat und jetzt das Betriebssystem nutzen will, um die Gemeinsamen Ordner (,mit dem nur ihm bekannten Passwort,) zu verwschlüsseln, muss man selbst vorher die Gemeinsamen Ordner verschlüsseln. Dann lassen sich die Ordner von einem Eindringling nicht mehr verschlüsseln, denn er müsste die Ordner vorher wieder entschlüsseln, kennt aber das Passwort nicht!
Dieser Fall wurde hier schon einmal geschildert, doch die Ordner waren in diesem Fall nicht verschlüsselt und konnten deshalb vom Angreifer verschlüsselt werden!

 

[NSFH]

Solange ein File egal ob verschlüsselt oder nicht im Dateisystem zu sehen ist kann ich es nach belieben nochmal und nochmal verschlüsseln!
Verschlüsseln ist kein Schutz gegen verschlüsseln!

 

[metalworker]

Eben .

Du kannst nur sichergehen das nen Angreifer keinen Zugriff bekommt .

Also am besten ein Pullbackup machen .

Worm ist dafür nicht unbedingt nötig

 

[Flessi]

Systemsteuerung -> Dateidienste Reiter "SMB" -> Erweiterte Einstellungen -> Sonstiges -> Veto-Dateien
Hier Dateiendungen, die von Ransomware benutzt werden, eintragen und die der NAS verweigern soll. Z.B.: /*.bin/*.enc/*.ENC/...
Dann versuch' mal auf dem NAS eine solche Datei mit dieser Endung zu erzeugen, umzuwandeln oder vom PC zum NAS zu schieben - geht nicht (mehr)!

 

[Hellraiser123]

Dann wird einfach eine andere Dateiendung benutzt oder gar keine. Was machst du dann? Also sowas ist weit weg von einem echten Schutz.

Edit: Und das gilt auch nur für SMB.

 

[weyon]

Siehe Post von Synchrotron.
Starkes Kennwort, keine Standardports, 2FA, Synology Firewall benutzen, Datensicherungen machen, nur wirklich benötigte Ports freigeben, als User nicht mit Admin Account arbeiten.

 

[Flessi]

Einen 100% Schutz gibt es nicht! Deshalb garnichts Machen??? 90% oder mehr der verschlüsselten Dateien haben eine Endung! Soll man wegen der restlichen 10% lieber garnichts machen?

 

[Hellraiser123]

Nein, aber man sollte nicht etwas machen was einem falsche Sicherheit vorgaukelt.

 

[Flessi]

Über SMB erfolgen keine Angriffe?
Ich unterstütze alles, was weyon geschrieben hat. Aber das wird ja von allen Seiten empfolen und müsste inzwischen hinlänglich bekannt sein. Meine Epfehlung ist zusätzlich und weniger bekannt!

 

[Hellraiser123]

Ich habe nie gesagt, dass über SMB keine Angriffe erfolgen. Nur ist es in MEINEN AUGEN ein vorgegaukelter Schutz. Außerdem was mach ich, wenn ich mal wirklich eine ENC Datei ablegen will? Es ist ja nicht so, dass es nur durch Angriffe erzeugt wird.

 

[Flessi]

@NSFH

Solange ein File egal ob verschlüsselt oder nicht im Dateisystem zu sehen ist kann ich es nach belieben nochmal und nochmal verschlüsseln!
Verschlüsseln ist kein Schutz gegen verschlüsseln!

Das ist doch selbverständlich und bekannt! Man kann aber nicht einen mit der bordeigenen Verschlüsselung verschlüsselten Gemeinsamen Ordner nocheinmal auf dieselbe Art verschlüsseln. Diese Möglichkeit ist damit schon mal ausgeschlossen.