NAS wirksam vor Ransomware schützen?

[Flessi]

Außerdem was mach ich, wenn ich mal wirklich eine ENC Datei ablegen will? Es ist ja nicht so, dass es nur durch Angriffe erzeugt wird.

Wie oft kommt das vor?! Dann nehme ich diese Endung temporär aus dem Veto-File, speichere die Datei ab und ergänze das Veto-File wieder um diese Endung.
So etwas kommt schon mal vor, wenn ich ein Backup meines Handys erstelle.

 

[Hellraiser123]

Das ist mein letzter Post dazu. Dann schreib ich nichts mehr. Das ist mir einfach zu doof.
Paar Gründe wieso es doch eben kein Schutz ist.
1. Wenn du mehrere Nutzer hast, dann werden sie sich bei dir bedanken, wenn sie das auf einmal nicht erstellen können. Oder du müsstest allen einen Admin Account einrichten, dass sie das auch können.
2. Automatische Backups gehen dadurch nicht.
3. Wenn du z.B NFS verwendest, dann ist es wieder kein Schutz....

Das ist einfach nur etwas wo man dann denkt, dass man doch aber etwas gegen gemacht hat. Das hat etwas von Security through obscurity. Das war noch nie ein guter Schutz.
Aber ab jetzt bin ich raus. Du kannst es ja gerne so machen und dich wohl fühlen, aber das macht es nicht zu einem Schutz gegen irgendwas.

 

[metalworker]

Dazu kommt. Manche Programme löschen dann einfach .und sagen die Daten liegen verschlüsselt in der Cloud .

 

[ctrlaltdelete]

Backup und immutable Snapshots.

 

[Flessi]

Dazu kommt. Manche Programme löschen dann einfach .und sagen die Daten liegen verschlüsselt in der Cloud .

Dann müsste nach meiner Erkenntnis der komplette Inhalt des NAS in die Cloud geschoben werden um dann dort verschlüsselt zu werden und anschließend der Inhalt auf dem NAS gelöscht werden damit er nicht mehr verhanden ist bzw. die verschlüsselten Daten aufs NAS zurückgespielt werden! Wer macht denn sowas? MMn. kann ein Veto-File die Verschlüsselung auf dem NAS direkt verhindern ohne Zugriff vom PC etc.

 

[metalworker]

Das machen sogar einige .
Allein um noch mit Veröffentlichung zu drohen.

Ich muss also ehrlich sagen .das ist echt kein Schutz.

 

[maxblank]

Backup und immutable Snapshots.

Um es noch zu präzisieren: Offsite-Backup

 

[ruby]

Also ich resümmiere für mich: Backups weiterhin auf externe Festplatten, parallel dazu Snapshots auf meiner DS720+ auf die zweite HDD. Wenn ich die Beiträge hier richtig interpretiere, ist der Fall, dass Ransomeware das komplette NAS (samt Snapshots) verschlüsselt, relativ unwahrscheinlich, wenn man Euren Vorschlägen zu den Grundeinstellungen folgt (Passwörter, 2FA etc.).
Beim Offsite-Backup bleibt dann für mich einstweilen, solange per Cloud auszulagern keine Option ist, nur händisch die Platten regelmäßig auszutauschen (Rotation). Das konsequent und regelmäßig zu machen, erscheint mir in einem "i.W. Familiennetzwerk", bei dem der Admin unregelmäßig für mehrere Tage außer Haus ist, unzuverlässig.
Was wäre davon zu halten, ein zusätzliches NAS per Aufgabenplaner nur alle zwei Wochen einzuschalten und dann ein Hyperbackup zu machen - inkl. Info-Mail, falls das fehlschlägt?
(Die zwei Wochen sind ein Beispiel - habe bei Synology gelesen, dass sie für die Snapshot-Sperre 7-14 Tage empfehlen.)

 

[Synchrotron]

Bei mir läuft eine 220j mit 2x 10TB JBOD zu genau diesem Zweck: Im Regelfall abgeschaltet, startet per Aufgabenplaner 1x in der Woche, und wartet dann auf ein HyperBackup von der 1522+. Das ist etwas zeitversetzt terminiert, damit die j vorher alles andere erledigt bekommt.

Einige Stunden später fährt sich die j wieder runter. Auf der j ist nur das Minimum an Paketen und Usern vorhanden. Operativ wird sie nicht genutzt.

Das bekommt die kleine gut gebacken. Für einen Angreifer bietet sich nur eine minimale Angriffsfläche.

 

[Benie]

Was wäre davon zu halten, ein zusätzliches NAS per Aufgabenplaner nur alle zwei Wochen einzuschalten und dann ein Hyperbackup zu machen

Mache ich seit gut 10 Jahren so, allerdings nicht mit HyperBackup (gab es damals noch nicht) sondern mit rsync, auf der DS unter Dateidienste zu finden.
Aber HyperBackup ist grundsätzlich schon ok dafür
Ich nutze bisher keine SnapShoots, aber ich meine die kann man auch mit ins Backup nehmen. Wenn nicht sagt hier bestimmt noch jemand etwas.

 

[ctrlaltdelete]

Snapshots auf meiner DS720+ auf die zweite HDD

wie meinst du das, wie ist der Speicherpool eingerichtet, generell???

 

[ruby]

Je ein Speicherpool und Volume pro HDD (8 bzw. 4 TB). Da ich diverse Syncs mit verschiedenen Rechnern und Backup auf einer weiteren DS114 sowie angeschlossenen USB / ESATA-HDDs mache, habe ich keine Spiegelung eingerichtet.

 

[maxblank]

Immutable Snapshots können nicht verschlüsselt werden bzw. können trotzdem wiederhergestellt werden.

parallel dazu Snapshots auf meiner DS720+ auf die zweite HDD

Warum auf die zweite HDD? Für jeden freigegeben Ordner einrichten! Die bleiben im gleichen Verzeichnis.

 

[NSFH]

@NSFH

Das ist doch selbverständlich und bekannt! Man kann aber nicht einen mit der bordeigenen Verschlüsselung verschlüsselten Gemeinsamen Ordner nocheinmal auf dieselbe Art verschlüsseln. Diese Möglichkeit ist damit schon mal ausgeschlossen.

Wenn du dich mal schlau lesen würdest müsstest du feststellen, dass die Ransomware Verschlüsselung NICHT mit Bordmitteln erfolgt sondern mit einem eigenen Algorythmus!
Daher ist das was du schreibst nicht zutreffend. Egal wie und womit du deine Dateien verschlüsselt hast, Ransomware verschlüsselt sie neu, wenn sie im Dateisystem zu finden sind.

 

[Flessi]

Daher ist das was du schreibst nicht zutreffend.

Hier geht es in erster Linie um Ransomware - das weiß ich!
Nur warum soll ich dazu etwas schreiben, wenn alles, was helfen kann, schon mehrfach erwähnt wurde und in diesem Forum schon mehrfach wiederholt wurde und jederzeit nachzulesen ist! Also habe ich einen in diesem Forum erwähnten Fall geschildert, in dem eine Syno auch mit den bordeigenen Mitteln verschlüsselt wurde!
Und das läßt sich wie oben beschrieben verhindern.
Was ist daran nicht zutreffend?
Herr Gott nochmal, liest denn hier niemand was ich schreibe!
Ich brauche mich nicht

schlau lesen

, ich bin schlau.
Wer meinen Vorschlag mit dem Veto-File nicht ausprobiert, was spielerisch gefahrlos durchgeführt werden kann, dürfte sich dazu auch nicht äußern!
In meinem Veto-File gibt es ca. 150 bisher von echter Ransomware benutzte Endungen, in der Hoffnung, das es funktioniert.
Wenn es dann nicht oder unzureichend funktionieren sollte, schadet es niemandem, wenn er dennoch alle anderen Vorschläge beherzigt.

 

[ruby]

parallel dazu Snapshots auf meiner DS720+ auf die zweite HDD

Warum auf die zweite HDD? Für jeden freigegeben Ordner einrichten! Die bleiben im gleichen Verzeichnis.

Weil ich vermeiden wollte, dass mir die Snapshots die produktive Platte vollschreiben (die Infos dazu, wie viel Platz Snapshots brauchen, sind sehr unterschiedlich) - und für den Fall, dass diese mal krepiert ... Ich dachte, wenn die Snapshots auf einer einer Verschlüsselung zum Opfer fallenden Backup-Platte liegen, nützen sie mir nichts.

 

[ctrlaltdelete]

immutable Snapshots können nicht verschlüsselt werden.

 

[ruby]

Sorry für mein Brett vor'm Kopf
die Sorge, dass meine 1. HDD nicht komplett verschlüsselt wird (inkl. Zugang zu den Snapshots) muss ich mir also nciht machen?

 

[maxblank]

Wenn du dort die Verzeichnisse mit immutable Snapshots schützt, nein.

Diese Frage zeigt aber, dass du die verlinkten Artikel in dem Thema nicht gelesen hast, siehe z.B. Post #3.

 

[ctrlaltdelete]

https://www.synology.com/de-de/DSM72