NAS wirksam vor Ransomware schützen?

ruby

Benutzer
Mitglied seit
21. Dez 2020
Beiträge
79
Punkte für Reaktionen
15
Punkte
8
Hallo liebes Forum!

Mich beschäftigt zunehmend die Optimierung der Sicherung meines Netzwerks. Derzeit läuft bei mir eine DS720+, auf die ich regelmäßig die wichtigen Daten meiner PCs synchronisiere. Davon gibt es HyperBackups auf eine DS114 und daran angeschlossene HDDs. Zusätzlich läuft die DS720+ als Medienserver und Ablage für meine Familie (Homes-Ordner). Natürlich gibt es auch Netzlaufwerkverbindungen, teilweise auch mit Adminrechten.

Backup-HDD werden derzeit nicht physisch rotiert und auch die regelmäßigen Wiederherstellungstests überfordern einen privaten Haushalt. Alle bisher bei Bedarf zurückgespielten Daten waren aber intakt, entweder mit Hyperbackup oder manuell von den USB-Datenträgern.

Nun nähere ich mich dem Thema Ransomware. Da diese angeblich bis zu einem Vierteljahr unentdeckt bleiben kann, mag es passieren, dass ich erst nach Wochen merke, dass meine Backup-Medien schon verschlüsselt sind, und wenn dann der Tag X eintritt und ich keinen Zugriff mehr auf irgendwas habe (so mein Albtraum), ist mein ganzes Backup-System für die Katz‘ gewesen, selbst wenn ich HDDs physisch rotiert hätte.

Seit DSM 7.2 und WORM (was leider auf meiner DS114 nicht läuft) frage ich mich, ob sich damit nicht eine Hintertür gegen Ransomeware basteln lässt. Allerdings habe ich das System dahinter noch nicht ganz durchschaut. Mit Snapshots habe ich auch noch keine Erfahrungen gemacht.

Bringt es z.B. etwas, Snapshots etwa auf der zweiten HDD innerhalb DS720+ mit WORM zu schützen? Oder ist das unnütz, weil die von der Ransomware trotzdem komplett gesperrt wäre? Oder sollte ich gänzlich andere Wege beschreiten?

Bitte nicht schlagen wegen meines Halbwissens – ich arbeite mich immer jeweils nach Kräften in ein neues Thema ein, habe aber derzeit nicht die Ressourcen, das Thema NAS systematisch vollumfänglich zu erlernen.

Freue mich über Euren Input.



Gruß, ruby
 

wegomyway

Benutzer
Sehr erfahren
Mitglied seit
03. Aug 2022
Beiträge
1.348
Punkte für Reaktionen
571
Punkte
184
Auch wenn ich nur 08/15 dazu beitragen kann, ich geb dieses wie ich es denke.
Alle User auch Admin, starke Passwörter (ordentlich lang mit min 20 Zeichen und alles drin was nur geht) und mit 2FA.
Admin nur wenn Notwendigkeit besteht wird eingeloggt.
Die Passwörter natürlich völlig anders und nix doppelt.
Wenn externer Zugriff, sei es über mobile Apps oder aus anderem WLan/Lan, Wireguard-VPN einrichten und vor allem auch aktiv nutzen (da muss halt ne Fritzbox on Board sein).
Zu den Passwörtern, da hilft ein Manager. Am Ende da alles rein und man muss nur. noch ein Masterpass sich merken. Aber auch dieses schön lang mit allem an Zeichen etc. was geht. Auch hier geht es mit 2FA.
Für den Rest werden die Kompetenzen sich noch einbringen.
Vielleicht noch nen geiler Spruch, der seine Berechtigung nicht verfehlt :
Das Problem sitzt häufig 50cm vom Display entfernt und ist der DAU.
Vielleicht ist meines hier auch etwas vorbei am Thema.
 

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.436
Punkte für Reaktionen
2.365
Punkte
289

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.132
Punkte für Reaktionen
2.091
Punkte
259
Das größere Problem ist nicht das NAS.

Das größere Problem sind (Windows-) PCs. Einmal weil sie als dominierendes OS am ehesten angegriffen werden.

Zweitens weil in ihnen eine unfassbare Anzahl von Exploits nur darauf wartet, in die richtig falschen Hände zu gelangen, und ausgenutzt zu werden.

Drittens weil sie die Geräte sind, die man wahrscheinlich benutzt, wenn man auf einen Phishing-Schmu reinfällt.

Die DS ist nachrangig. Nicht über Ports zum Internet öffnen, sichere (Admin) User einrichten (PW+2FA), wenn möglich Immutable Snapshots aufsetzen.

Und immer schön 3-2-1 Backups in der Hinterhand haben. Man gönnt sich ja auch sonst alles !
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.532
Punkte für Reaktionen
1.359
Punkte
194
Synchrotron hat das meiste ja schon gesagt.

Wichtig ist das User die mit Backups arbeiten können, nicht die gleichen Sind mit denen du normal Arbeitest.

Damit deine Backups nicht verschlüsselt werden können wenn dein Client infiziert wird.
 
  • Like
Reaktionen: Synchrotron

stevenfreiburg

Benutzer
Mitglied seit
05. Apr 2022
Beiträge
245
Punkte für Reaktionen
126
Punkte
93
Mir war das meiste bisher zu kompliziert. Zusätzlich zum Backup auf externer HDD wollte ich zumindest noch ein Backup an einem anderen Ort. Deswegen habe 10 TB "lifetime" bei PCloud gekauft (ca. 1.000 US $). Keine Abokosten, hat sich gegenüber meinem früheren Dropboxabo bereits ausgezahlt.
Synology Cloudsync macht regelmäßig Backup auf pcloud.
Pcloud bietet als addon eine extended file history, "time machine" sozusagen, eine Versionierung, die 1 Jahr zurückreicht. Die Sicherheit und Bequemlichkeit ist mir die ca. 6 US $ Kosten pro Monat wert.


Zusätzlich: Das "Pull Backup" Konzept mit basic backup von Tommes hat mich überzeugt, das werde ich in Kürze einrichten.
 
  • Love
Reaktionen: Tommes

ruby

Benutzer
Mitglied seit
21. Dez 2020
Beiträge
79
Punkte für Reaktionen
15
Punkte
8
Windows-PCs sind in unserem Netzwerk nicht vermeidbar, und Cloud-Lösungen aus verschiedenen Gründen keine Option. Und als "Remote Server" kann ich nur eine andere DS114 nutzen, die aber kein WORM unetstützt.
Das mit den Schnappschüssen klingt daher nach einer sinnvollen Ergänzung.

Aber: Wenn ich (um die WORM-Technologie nutzen zu können) die Schnappschüsse auf der zweiten HDD meiner DS720+ einrichte, kann es dann nicht passieren, dass diese von Ransomeware komplett verschlüsselt wird (also alle Platten inkl. OS)? Dann nützen mir doch die Schnappschüsse nichts - oder habe ich da was falsch verstanden?
 

patrickn

Benutzer
Sehr erfahren
Mitglied seit
07. Apr 2016
Beiträge
891
Punkte für Reaktionen
354
Punkte
83
Snapshots können nicht mal von Administratoren verändert werden, auch bei normalen. Da muss dann schon extrem viel im argen sein, wenn der "Angreifer" schon als root unterwegs ist.
 
  • Like
Reaktionen: Benie

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194

Flessi

Benutzer
Mitglied seit
14. Sep 2012
Beiträge
469
Punkte für Reaktionen
63
Punkte
34
Wenn man verhindern will, dass jemand, der Zugang zum NAS erlangt hat und jetzt das Betriebssystem nutzen will, um die Gemeinsamen Ordner (,mit dem nur ihm bekannten Passwort,) zu verwschlüsseln, muss man selbst vorher die Gemeinsamen Ordner verschlüsseln. Dann lassen sich die Ordner von einem Eindringling nicht mehr verschlüsseln, denn er müsste die Ordner vorher wieder entschlüsseln, kennt aber das Passwort nicht!
Dieser Fall wurde hier schon einmal geschildert, doch die Ordner waren in diesem Fall nicht verschlüsselt und konnten deshalb vom Angreifer verschlüsselt werden!
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
Solange ein File egal ob verschlüsselt oder nicht im Dateisystem zu sehen ist kann ich es nach belieben nochmal und nochmal verschlüsseln!
Verschlüsseln ist kein Schutz gegen verschlüsseln!
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.532
Punkte für Reaktionen
1.359
Punkte
194
Eben .

Du kannst nur sichergehen das nen Angreifer keinen Zugriff bekommt .

Also am besten ein Pullbackup machen .

Worm ist dafür nicht unbedingt nötig
 

Flessi

Benutzer
Mitglied seit
14. Sep 2012
Beiträge
469
Punkte für Reaktionen
63
Punkte
34
Systemsteuerung -> Dateidienste Reiter "SMB" -> Erweiterte Einstellungen -> Sonstiges -> Veto-Dateien
Hier Dateiendungen, die von Ransomware benutzt werden, eintragen und die der NAS verweigern soll. Z.B.: /*.bin/*.enc/*.ENC/...
Dann versuch' mal auf dem NAS eine solche Datei mit dieser Endung zu erzeugen, umzuwandeln oder vom PC zum NAS zu schieben - geht nicht (mehr)!
 

Hellraiser123

Benutzer
Sehr erfahren
Mitglied seit
31. Jul 2024
Beiträge
764
Punkte für Reaktionen
412
Punkte
139
Dann wird einfach eine andere Dateiendung benutzt oder gar keine. Was machst du dann? Also sowas ist weit weg von einem echten Schutz.

Edit: Und das gilt auch nur für SMB.
 

weyon

Benutzer
Mitglied seit
17. Apr 2017
Beiträge
697
Punkte für Reaktionen
91
Punkte
48
Siehe Post von Synchrotron.
Starkes Kennwort, keine Standardports, 2FA, Synology Firewall benutzen, Datensicherungen machen, nur wirklich benötigte Ports freigeben, als User nicht mit Admin Account arbeiten.
 

Flessi

Benutzer
Mitglied seit
14. Sep 2012
Beiträge
469
Punkte für Reaktionen
63
Punkte
34
Einen 100% Schutz gibt es nicht! Deshalb garnichts Machen??? 90% oder mehr der verschlüsselten Dateien haben eine Endung! Soll man wegen der restlichen 10% lieber garnichts machen?
 

Hellraiser123

Benutzer
Sehr erfahren
Mitglied seit
31. Jul 2024
Beiträge
764
Punkte für Reaktionen
412
Punkte
139
Nein, aber man sollte nicht etwas machen was einem falsche Sicherheit vorgaukelt.
 

Flessi

Benutzer
Mitglied seit
14. Sep 2012
Beiträge
469
Punkte für Reaktionen
63
Punkte
34
Über SMB erfolgen keine Angriffe?
Ich unterstütze alles, was weyon geschrieben hat. Aber das wird ja von allen Seiten empfolen und müsste inzwischen hinlänglich bekannt sein. Meine Epfehlung ist zusätzlich und weniger bekannt!
 

Hellraiser123

Benutzer
Sehr erfahren
Mitglied seit
31. Jul 2024
Beiträge
764
Punkte für Reaktionen
412
Punkte
139
Ich habe nie gesagt, dass über SMB keine Angriffe erfolgen. Nur ist es in MEINEN AUGEN ein vorgegaukelter Schutz. Außerdem was mach ich, wenn ich mal wirklich eine ENC Datei ablegen will? Es ist ja nicht so, dass es nur durch Angriffe erzeugt wird.
 

Flessi

Benutzer
Mitglied seit
14. Sep 2012
Beiträge
469
Punkte für Reaktionen
63
Punkte
34
@NSFH
Solange ein File egal ob verschlüsselt oder nicht im Dateisystem zu sehen ist kann ich es nach belieben nochmal und nochmal verschlüsseln!
Verschlüsseln ist kein Schutz gegen verschlüsseln!
Das ist doch selbverständlich und bekannt! Man kann aber nicht einen mit der bordeigenen Verschlüsselung verschlüsselten Gemeinsamen Ordner nocheinmal auf dieselbe Art verschlüsseln. Diese Möglichkeit ist damit schon mal ausgeschlossen.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat