NAS wirksam vor Ransomware schützen?

Flessi

Benutzer
Mitglied seit
14. Sep 2012
Beiträge
471
Punkte für Reaktionen
64
Punkte
34
Außerdem was mach ich, wenn ich mal wirklich eine ENC Datei ablegen will? Es ist ja nicht so, dass es nur durch Angriffe erzeugt wird.
Wie oft kommt das vor?! Dann nehme ich diese Endung temporär aus dem Veto-File, speichere die Datei ab und ergänze das Veto-File wieder um diese Endung.
So etwas kommt schon mal vor, wenn ich ein Backup meines Handys erstelle.
 

Hellraiser123

Benutzer
Sehr erfahren
Mitglied seit
31. Jul 2024
Beiträge
764
Punkte für Reaktionen
412
Punkte
139
Das ist mein letzter Post dazu. Dann schreib ich nichts mehr. Das ist mir einfach zu doof.
Paar Gründe wieso es doch eben kein Schutz ist.
1. Wenn du mehrere Nutzer hast, dann werden sie sich bei dir bedanken, wenn sie das auf einmal nicht erstellen können. Oder du müsstest allen einen Admin Account einrichten, dass sie das auch können.
2. Automatische Backups gehen dadurch nicht.
3. Wenn du z.B NFS verwendest, dann ist es wieder kein Schutz....

Das ist einfach nur etwas wo man dann denkt, dass man doch aber etwas gegen gemacht hat. Das hat etwas von Security through obscurity. Das war noch nie ein guter Schutz.
Aber ab jetzt bin ich raus. Du kannst es ja gerne so machen und dich wohl fühlen, aber das macht es nicht zu einem Schutz gegen irgendwas.
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.533
Punkte für Reaktionen
1.363
Punkte
194
Dazu kommt. Manche Programme löschen dann einfach .und sagen die Daten liegen verschlüsselt in der Cloud .
 

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
14.061
Punkte für Reaktionen
6.064
Punkte
569
Backup und immutable Snapshots.
 
  • Like
Reaktionen: maxblank

Flessi

Benutzer
Mitglied seit
14. Sep 2012
Beiträge
471
Punkte für Reaktionen
64
Punkte
34
Dazu kommt. Manche Programme löschen dann einfach .und sagen die Daten liegen verschlüsselt in der Cloud .
Dann müsste nach meiner Erkenntnis der komplette Inhalt des NAS in die Cloud geschoben werden um dann dort verschlüsselt zu werden und anschließend der Inhalt auf dem NAS gelöscht werden damit er nicht mehr verhanden ist bzw. die verschlüsselten Daten aufs NAS zurückgespielt werden! Wer macht denn sowas? MMn. kann ein Veto-File die Verschlüsselung auf dem NAS direkt verhindern ohne Zugriff vom PC etc.
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.533
Punkte für Reaktionen
1.363
Punkte
194
Das machen sogar einige .
Allein um noch mit Veröffentlichung zu drohen.

Ich muss also ehrlich sagen .das ist echt kein Schutz.
 

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.442
Punkte für Reaktionen
2.371
Punkte
289

ruby

Benutzer
Mitglied seit
21. Dez 2020
Beiträge
79
Punkte für Reaktionen
15
Punkte
8
Also ich resümmiere für mich: Backups weiterhin auf externe Festplatten, parallel dazu Snapshots auf meiner DS720+ auf die zweite HDD. Wenn ich die Beiträge hier richtig interpretiere, ist der Fall, dass Ransomeware das komplette NAS (samt Snapshots) verschlüsselt, relativ unwahrscheinlich, wenn man Euren Vorschlägen zu den Grundeinstellungen folgt (Passwörter, 2FA etc.).
Beim Offsite-Backup bleibt dann für mich einstweilen, solange per Cloud auszulagern keine Option ist, nur händisch die Platten regelmäßig auszutauschen (Rotation). Das konsequent und regelmäßig zu machen, erscheint mir in einem "i.W. Familiennetzwerk", bei dem der Admin unregelmäßig für mehrere Tage außer Haus ist, unzuverlässig.
Was wäre davon zu halten, ein zusätzliches NAS per Aufgabenplaner nur alle zwei Wochen einzuschalten und dann ein Hyperbackup zu machen - inkl. Info-Mail, falls das fehlschlägt?
(Die zwei Wochen sind ein Beispiel - habe bei Synology gelesen, dass sie für die Snapshot-Sperre 7-14 Tage empfehlen.)
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.135
Punkte für Reaktionen
2.093
Punkte
259
Bei mir läuft eine 220j mit 2x 10TB JBOD zu genau diesem Zweck: Im Regelfall abgeschaltet, startet per Aufgabenplaner 1x in der Woche, und wartet dann auf ein HyperBackup von der 1522+. Das ist etwas zeitversetzt terminiert, damit die j vorher alles andere erledigt bekommt.

Einige Stunden später fährt sich die j wieder runter. Auf der j ist nur das Minimum an Paketen und Usern vorhanden. Operativ wird sie nicht genutzt.

Das bekommt die kleine gut gebacken. Für einen Angreifer bietet sich nur eine minimale Angriffsfläche.
 
  • Like
Reaktionen: stevenfreiburg

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.969
Punkte für Reaktionen
3.807
Punkte
344
Was wäre davon zu halten, ein zusätzliches NAS per Aufgabenplaner nur alle zwei Wochen einzuschalten und dann ein Hyperbackup zu machen
Mache ich seit gut 10 Jahren so, allerdings nicht mit HyperBackup (gab es damals noch nicht) sondern mit rsync, auf der DS unter Dateidienste zu finden.
Aber HyperBackup ist grundsätzlich schon ok dafür
Ich nutze bisher keine SnapShoots, aber ich meine die kann man auch mit ins Backup nehmen. Wenn nicht sagt hier bestimmt noch jemand etwas.
 

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
14.061
Punkte für Reaktionen
6.064
Punkte
569

ruby

Benutzer
Mitglied seit
21. Dez 2020
Beiträge
79
Punkte für Reaktionen
15
Punkte
8
Je ein Speicherpool und Volume pro HDD (8 bzw. 4 TB). Da ich diverse Syncs mit verschiedenen Rechnern und Backup auf einer weiteren DS114 sowie angeschlossenen USB / ESATA-HDDs mache, habe ich keine Spiegelung eingerichtet.
 
  • Like
Reaktionen: ctrlaltdelete

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.442
Punkte für Reaktionen
2.371
Punkte
289
Immutable Snapshots können nicht verschlüsselt werden bzw. können trotzdem wiederhergestellt werden.

parallel dazu Snapshots auf meiner DS720+ auf die zweite HDD
Warum auf die zweite HDD? Für jeden freigegeben Ordner einrichten! Die bleiben im gleichen Verzeichnis.
 
  • Like
Reaktionen: ctrlaltdelete

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
@NSFH

Das ist doch selbverständlich und bekannt! Man kann aber nicht einen mit der bordeigenen Verschlüsselung verschlüsselten Gemeinsamen Ordner nocheinmal auf dieselbe Art verschlüsseln. Diese Möglichkeit ist damit schon mal ausgeschlossen.
Wenn du dich mal schlau lesen würdest müsstest du feststellen, dass die Ransomware Verschlüsselung NICHT mit Bordmitteln erfolgt sondern mit einem eigenen Algorythmus!
Daher ist das was du schreibst nicht zutreffend. Egal wie und womit du deine Dateien verschlüsselt hast, Ransomware verschlüsselt sie neu, wenn sie im Dateisystem zu finden sind.
 

Flessi

Benutzer
Mitglied seit
14. Sep 2012
Beiträge
471
Punkte für Reaktionen
64
Punkte
34
Daher ist das was du schreibst nicht zutreffend.

Hier geht es in erster Linie um Ransomware - das weiß ich!
Nur warum soll ich dazu etwas schreiben, wenn alles, was helfen kann, schon mehrfach erwähnt wurde und in diesem Forum schon mehrfach wiederholt wurde und jederzeit nachzulesen ist! Also habe ich einen in diesem Forum erwähnten Fall geschildert, in dem eine Syno auch mit den bordeigenen Mitteln verschlüsselt wurde!
Und das läßt sich wie oben beschrieben verhindern.
Was ist daran nicht zutreffend?
Herr Gott nochmal, liest denn hier niemand was ich schreibe!
Ich brauche mich nicht
, ich bin schlau.
Wer meinen Vorschlag mit dem Veto-File nicht ausprobiert, was spielerisch gefahrlos durchgeführt werden kann, dürfte sich dazu auch nicht äußern!
In meinem Veto-File gibt es ca. 150 bisher von echter Ransomware benutzte Endungen, in der Hoffnung, das es funktioniert.
Wenn es dann nicht oder unzureichend funktionieren sollte, schadet es niemandem, wenn er dennoch alle anderen Vorschläge beherzigt.
 
  • Wow
Reaktionen: Benie

ruby

Benutzer
Mitglied seit
21. Dez 2020
Beiträge
79
Punkte für Reaktionen
15
Punkte
8
parallel dazu Snapshots auf meiner DS720+ auf die zweite HDD
Warum auf die zweite HDD? Für jeden freigegeben Ordner einrichten! Die bleiben im gleichen Verzeichnis.
Weil ich vermeiden wollte, dass mir die Snapshots die produktive Platte vollschreiben (die Infos dazu, wie viel Platz Snapshots brauchen, sind sehr unterschiedlich) - und für den Fall, dass diese mal krepiert ... Ich dachte, wenn die Snapshots auf einer einer Verschlüsselung zum Opfer fallenden Backup-Platte liegen, nützen sie mir nichts.
 

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
14.061
Punkte für Reaktionen
6.064
Punkte
569
immutable Snapshots können nicht verschlüsselt werden.
 

ruby

Benutzer
Mitglied seit
21. Dez 2020
Beiträge
79
Punkte für Reaktionen
15
Punkte
8
Sorry für mein Brett vor'm Kopf :unsure:
die Sorge, dass meine 1. HDD nicht komplett verschlüsselt wird (inkl. Zugang zu den Snapshots) muss ich mir also nciht machen?
 

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.442
Punkte für Reaktionen
2.371
Punkte
289
Wenn du dort die Verzeichnisse mit immutable Snapshots schützt, nein.

Diese Frage zeigt aber, dass du die verlinkten Artikel in dem Thema nicht gelesen hast, siehe z.B. Post #3.
 

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
14.061
Punkte für Reaktionen
6.064
Punkte
569
  • Like
Reaktionen: maxblank


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat