Toggle sidebar

NAS wirksam vor Ransomware schützen?

Hellraiser123 schrieb:
Außerdem was mach ich, wenn ich mal wirklich eine ENC Datei ablegen will? Es ist ja nicht so, dass es nur durch Angriffe erzeugt wird.
Zum Vergrößern anklicken....
Wie oft kommt das vor?! Dann nehme ich diese Endung temporär aus dem Veto-File, speichere die Datei ab und ergänze das Veto-File wieder um diese Endung.
So etwas kommt schon mal vor, wenn ich ein Backup meines Handys erstelle.
 
Das ist mein letzter Post dazu. Dann schreib ich nichts mehr. Das ist mir einfach zu doof.
Paar Gründe wieso es doch eben kein Schutz ist.
1. Wenn du mehrere Nutzer hast, dann werden sie sich bei dir bedanken, wenn sie das auf einmal nicht erstellen können. Oder du müsstest allen einen Admin Account einrichten, dass sie das auch können.
2. Automatische Backups gehen dadurch nicht.
3. Wenn du z.B NFS verwendest, dann ist es wieder kein Schutz....

Das ist einfach nur etwas wo man dann denkt, dass man doch aber etwas gegen gemacht hat. Das hat etwas von Security through obscurity. Das war noch nie ein guter Schutz.
Aber ab jetzt bin ich raus. Du kannst es ja gerne so machen und dich wohl fühlen, aber das macht es nicht zu einem Schutz gegen irgendwas.
 
Dazu kommt. Manche Programme löschen dann einfach .und sagen die Daten liegen verschlüsselt in der Cloud .
 
Backup und immutable Snapshots.
 
  • Like
Reaktionen: maxblank
metalworker schrieb:
Dazu kommt. Manche Programme löschen dann einfach .und sagen die Daten liegen verschlüsselt in der Cloud .
Zum Vergrößern anklicken....
Dann müsste nach meiner Erkenntnis der komplette Inhalt des NAS in die Cloud geschoben werden um dann dort verschlüsselt zu werden und anschließend der Inhalt auf dem NAS gelöscht werden damit er nicht mehr verhanden ist bzw. die verschlüsselten Daten aufs NAS zurückgespielt werden! Wer macht denn sowas? MMn. kann ein Veto-File die Verschlüsselung auf dem NAS direkt verhindern ohne Zugriff vom PC etc.
 
Das machen sogar einige .
Allein um noch mit Veröffentlichung zu drohen.

Ich muss also ehrlich sagen .das ist echt kein Schutz.
 
  • Like
Reaktionen: Benie, metalworker und ctrlaltdelete
Also ich resümmiere für mich: Backups weiterhin auf externe Festplatten, parallel dazu Snapshots auf meiner DS720+ auf die zweite HDD. Wenn ich die Beiträge hier richtig interpretiere, ist der Fall, dass Ransomeware das komplette NAS (samt Snapshots) verschlüsselt, relativ unwahrscheinlich, wenn man Euren Vorschlägen zu den Grundeinstellungen folgt (Passwörter, 2FA etc.).
Beim Offsite-Backup bleibt dann für mich einstweilen, solange per Cloud auszulagern keine Option ist, nur händisch die Platten regelmäßig auszutauschen (Rotation). Das konsequent und regelmäßig zu machen, erscheint mir in einem "i.W. Familiennetzwerk", bei dem der Admin unregelmäßig für mehrere Tage außer Haus ist, unzuverlässig.
Was wäre davon zu halten, ein zusätzliches NAS per Aufgabenplaner nur alle zwei Wochen einzuschalten und dann ein Hyperbackup zu machen - inkl. Info-Mail, falls das fehlschlägt?
(Die zwei Wochen sind ein Beispiel - habe bei Synology gelesen, dass sie für die Snapshot-Sperre 7-14 Tage empfehlen.)
 
Bei mir läuft eine 220j mit 2x 10TB JBOD zu genau diesem Zweck: Im Regelfall abgeschaltet, startet per Aufgabenplaner 1x in der Woche, und wartet dann auf ein HyperBackup von der 1522+. Das ist etwas zeitversetzt terminiert, damit die j vorher alles andere erledigt bekommt.

Einige Stunden später fährt sich die j wieder runter. Auf der j ist nur das Minimum an Paketen und Usern vorhanden. Operativ wird sie nicht genutzt.

Das bekommt die kleine gut gebacken. Für einen Angreifer bietet sich nur eine minimale Angriffsfläche.
 
  • Like
Reaktionen: stevenfreiburg
ruby schrieb:
Was wäre davon zu halten, ein zusätzliches NAS per Aufgabenplaner nur alle zwei Wochen einzuschalten und dann ein Hyperbackup zu machen
Zum Vergrößern anklicken....
Mache ich seit gut 10 Jahren so, allerdings nicht mit HyperBackup (gab es damals noch nicht) sondern mit rsync, auf der DS unter Dateidienste zu finden.
Aber HyperBackup ist grundsätzlich schon ok dafür
Ich nutze bisher keine SnapShoots, aber ich meine die kann man auch mit ins Backup nehmen. Wenn nicht sagt hier bestimmt noch jemand etwas.
 
Je ein Speicherpool und Volume pro HDD (8 bzw. 4 TB). Da ich diverse Syncs mit verschiedenen Rechnern und Backup auf einer weiteren DS114 sowie angeschlossenen USB / ESATA-HDDs mache, habe ich keine Spiegelung eingerichtet.
 
  • Like
Reaktionen: ctrlaltdelete
Immutable Snapshots können nicht verschlüsselt werden bzw. können trotzdem wiederhergestellt werden.

ruby schrieb:
parallel dazu Snapshots auf meiner DS720+ auf die zweite HDD
Zum Vergrößern anklicken....
Warum auf die zweite HDD? Für jeden freigegeben Ordner einrichten! Die bleiben im gleichen Verzeichnis.
 
  • Like
Reaktionen: ctrlaltdelete
Flessi schrieb:
@NSFH

Das ist doch selbverständlich und bekannt! Man kann aber nicht einen mit der bordeigenen Verschlüsselung verschlüsselten Gemeinsamen Ordner nocheinmal auf dieselbe Art verschlüsseln. Diese Möglichkeit ist damit schon mal ausgeschlossen.
Zum Vergrößern anklicken....
Wenn du dich mal schlau lesen würdest müsstest du feststellen, dass die Ransomware Verschlüsselung NICHT mit Bordmitteln erfolgt sondern mit einem eigenen Algorythmus!
Daher ist das was du schreibst nicht zutreffend. Egal wie und womit du deine Dateien verschlüsselt hast, Ransomware verschlüsselt sie neu, wenn sie im Dateisystem zu finden sind.
 
NSFH schrieb:
Daher ist das was du schreibst nicht zutreffend.
Zum Vergrößern anklicken....

Hier geht es in erster Linie um Ransomware - das weiß ich!
Nur warum soll ich dazu etwas schreiben, wenn alles, was helfen kann, schon mehrfach erwähnt wurde und in diesem Forum schon mehrfach wiederholt wurde und jederzeit nachzulesen ist! Also habe ich einen in diesem Forum erwähnten Fall geschildert, in dem eine Syno auch mit den bordeigenen Mitteln verschlüsselt wurde!
Und das läßt sich wie oben beschrieben verhindern.
Was ist daran nicht zutreffend?
Herr Gott nochmal, liest denn hier niemand was ich schreibe!
Ich brauche mich nicht
NSFH schrieb:
schlau lesen
Zum Vergrößern anklicken....
, ich bin schlau.
Wer meinen Vorschlag mit dem Veto-File nicht ausprobiert, was spielerisch gefahrlos durchgeführt werden kann, dürfte sich dazu auch nicht äußern!
In meinem Veto-File gibt es ca. 150 bisher von echter Ransomware benutzte Endungen, in der Hoffnung, das es funktioniert.
Wenn es dann nicht oder unzureichend funktionieren sollte, schadet es niemandem, wenn er dennoch alle anderen Vorschläge beherzigt.
 
  • Wow
Reaktionen: Benie
ruby schrieb:
parallel dazu Snapshots auf meiner DS720+ auf die zweite HDD
Zum Vergrößern anklicken....
Warum auf die zweite HDD? Für jeden freigegeben Ordner einrichten! Die bleiben im gleichen Verzeichnis.
Zum Vergrößern anklicken....
Weil ich vermeiden wollte, dass mir die Snapshots die produktive Platte vollschreiben (die Infos dazu, wie viel Platz Snapshots brauchen, sind sehr unterschiedlich) - und für den Fall, dass diese mal krepiert ... Ich dachte, wenn die Snapshots auf einer einer Verschlüsselung zum Opfer fallenden Backup-Platte liegen, nützen sie mir nichts.
 
immutable Snapshots können nicht verschlüsselt werden.
 
Sorry für mein Brett vor'm Kopf :unsure:
die Sorge, dass meine 1. HDD nicht komplett verschlüsselt wird (inkl. Zugang zu den Snapshots) muss ich mir also nciht machen?
 
Wenn du dort die Verzeichnisse mit immutable Snapshots schützt, nein.

Diese Frage zeigt aber, dass du die verlinkten Artikel in dem Thema nicht gelesen hast, siehe z.B. Post #3.
 
  • Like
Reaktionen: maxblank

Additional post fields

NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten