Netzwerkfreigabe für einzelnen Ordner verhindern

[bz-mof]

Hallo zusammen!

Ich habe eine Frage zur Netzwerkzugriffkonfiguration auf einem DS2018 mit DSM 6.2.2. Grundsätzlich funktioniert alles gut, diese ist also keine Einsteigerfrage. Um die Sicherheit zu erhöhen soll der Netzwerkzugriff auf einen Ordner kategorisch ausgeschlossen werden soll.

Setup

• DS218 als Arbeitsgruppen-Fileserver.
• Wöchtenliche Backups auf externe cold storages.
• Verschiedene Benutzer B1...Bx haben teilweise Zugriff auf diverse freigegebene Ordner via SMB2/3.
• Nur Admin-Account A hat Vollzugriff auf DSM.
• Admin-Account A wird nur für DSM genutzt.
• Auf dem NAS existiert ein weiterer freigegebener Ordner Backups. "Hyper Backup" nutzt diesen als Ziel für tägliche Backups.

Da täglich sehr viele Dateien verändert werden, wird "Hyper Backup" verwendet, um tägliche lokale Backups durchzuführen, damit diese im cold storage fehlenden Daten im Falle eines aktiven Verschlüsselungstrojaners ebenfalls gesichert sind. Dieser würde ja potentiell alle via SMB erreichbaren Dateien ebenfalls vernichten.

Meine Frage bezieht sich nun auf die Absicherungs des Ordners Backups:

• Die Benutzer B1..Bx haben keine Zugriffsrechte.
• Admin-Account A benötigt Zugriffsrechte, weil der Zugriff via Hyper Backup sonst nicht funktioniert.
• Admin-Account A sollten im Normalfall nicht im Explorer einen Windows-Rechners genutzt werden, um auf irgendwelche NAS-Freigaben zuzugreifen. Dies sehe ich als einen kritischen Punkt, da niemals verhindert werden kann, dass irgendein PC diese nicht doch im Credential Storage hat und ein Trojaner sie dementsprechend abgreifen könnte.
• Daher würde ich gerne den Zugriff auf den Ordner Backups weitestgehend einschränken:
  • Den Benutzerzugriff für A verhindern und nur für die App Hyper Backup erlauben funktioniert anscheinend nicht.
  • SMB grundsätzlich für den Ordner Backups deaktivieren funktioniert nicht.
  • Komplett lokale Ordner (im gegensatz zu freigegebenen Ordnern) sind in DMS nicht vorgesehen?

Habt ihr irgendeine Idee, wie ich den Ordner weiter absichern könnte? Mich auf "kein Windows-PC kennt die Anmeldedaten des freigegebenen Ordners" ist mir als alleiniger Schutzwall zu wenig.

Vielen Dank für Vorschläge!

 

[BetaBlocker]

Zumindest kanns Du ihn unter der Netzwerkumgebung nicht anzeigen lassen:

 

[bz-mof]

Hallo BetaBlocker,

danke für deine schnelle Antwort!

Zumindest kanns Du ihn unter der Netzwerkumgebung nicht anzeigen lassen:

Die Einstellung hatte ich nicht erwähnt, um mein ursprüngliches Posting nicht noch länger werden zu lassen. Ich befürchte, dass Emotet/Trickbot, Ryuk etc. die Freigabe trotzdem finden. Daher glaube ich dass sie für den Komfort meiner Anwender zwar sehr hilfreich ist, zur "Verteidigung" aber nicht.

 

[bz-mof]

Ich habe eine Teillösung gefunden:

(Admin ist den Gruppen "administratoren" und "users" zugehörig.)
Hyper Backup hat trotzdem Zugriff, Der Admin über DSM ebenfalls, aber SMB wird nun zumindest abgeblockt.
(Das Häkchen bei users -> Kein Zugriff zu setzen geht hier natürlich nicht, denn das würde administratoren -> Lesen/Schreiben überschreiben)

SMB komplett abzuschalten für diesen wäre mir natürlich weiterhin lieber, falls es irgendwie geht.

 

[NSFH]

Solange der Ordner Backup auf der Maschine (in der Syno) liegt bekommst du ihn gegen diese Art Schädling nicht abgesichert.
Wenn ein Admin-Passwort kompromittiert wurde hast du sowieso schlechte Karten, egal wie du diese benennst, Admin ist Admin.
Entweder nutzt du eine zweite kleine Syno als Backupserver oder du arbeitest mit mindestens 2 externen und dann rotierenden Festplatten.
Externe HDs sind dabei nicht die preisgünstigste Lösung! Eine wirklich sichere Lösung kannst du nur mit einer 2. DS erreichen, allerdings benötigst du da auf dem eigentlichen File-Server 2 Nw-Ports, sonst geht es nicht optimal. Mittels Firewalleinstellungen auf den beiden DS kann man da aber noch ein wenig mehr Sicherheit rein bringen, wenn nur ein Port zur Verfügung steht.

 

[bz-mof]

Hey NSFH,
danke für deine Hinweise!

Solange der Ordner Backup auf der Maschine (in der Syno) liegt bekommst du ihn gegen diese Art Schädling nicht abgesichert.
Wenn ein Admin-Passwort kompromittiert wurde hast du sowieso schlechte Karten, egal wie du diese benennst, Admin ist Admin.

Hm, in dieser ersten Verteidigungslinie ging ich bisher davon aus, dass diese Schädlinge hauptsächlich über Dateifreigaben und Windows-Benutzeraccounts gehen. Daher wollte ich die Netzwerkfreigaben verhindern. Wenn ich dich richtig verstehe, dann meinst du aber, dass eine reale Gefahr besteht, dass sich so ein Teil dann auch über das Webinterface Zugriff verschafft? Wäre durchaus realistisch, Synology DSM ist ja nicht unbekannt. Oder hattest du etwas anderes gemeint?

Falls nur SMB das Problem ist, würde ich evtl. über die /etc/share/smb.share.conf gehen:

Würde entweder diesen kompletten Block entfernen oder zumindest die drei markierten Einträge verändern. Eine Lösung über das UI wäre mit natürlich lieber, aber so geht's vielleicht auch permanent ohne andere Prozesse zu stören.

Entweder nutzt du eine zweite kleine Syno als Backupserver oder du arbeitest mit mindestens 2 externen und dann rotierenden Festplatten.
Externe HDs sind dabei nicht die preisgünstigste Lösung! Eine wirklich sichere Lösung kannst du nur mit einer 2. DS erreichen, allerdings benötigst du da auf dem eigentlichen File-Server 2 Nw-Ports, sonst geht es nicht optimal.

Wie gesagt, für "richtiges" Backup steht ein Cold Storage zur Verfügung. Will halt nur ein tägliches Backup hinzufügen. VLAN und Linux-Server (rsync) stünden auch bereit, aber die wollte ich hier nicht einbinden wg. Traffic.
Externe HDDs manuell per USB anschließen kommt in der Tat nicht in Frage, das ist zu fehlerträchtig. Und spätestens in der Woche, in der man es aus irgendwelchen Gründen sein lässt, passiert der GAU und man hätte das Backup gebraucht.

 

[BetaBlocker]

Ich sichere die Daten aus diesem Grund tatsächlich dreifach: Lokal auf ein zweites NAS und dann einmal in der Nacht per VPN auf ein weiteres externes NAS und ein RDX Laufwerk. Dieses Setup hat einen Trojanerngriff überstanden, so dass mir nur Daten von ca. 4 Stunden verloren gegangen sind.

Gruß Björn

 

[NSFH]

Leider sind die Angriffsmethoden die mittels Emotet eingeschleust werden schon so ausgereift, dass jegliche Nw-Freigaben erkannt und ausgenutzt werden. Wird dabei typischer Weise auch ein Admin-Account erbeutet hast du sowieso verloren.

Wenn du noch einen Linux-Server hast gehe folgendermassen vor:
Richte ihn komplett ein
Firewall komplett zumachen: keine Nw-Protokolle, keine Freigaben, bis auf die Admin-Anmeldung alles verbieten.
Alle Ports zu bis auf den RSYNC-Port und den in der Firewall auf die Syno-IP als Host freischalten.

In der Syno eine Nw-Verbindung auf die IP des Linux-Servers einrichten.
Die Firewall Richtung IP des Linux komplett zumachen und nur den RSYNC Port dort hin öffnen.
In Hyperbackup richtetst du jetzt ein Backup per RSYNC auf die Linux ein (Datenbank, nicht Einzeldateien!)

Ideal wäre eine Syno mit 2 NW-Ports. Dann stünde der zweite Port nur für das Backup zur Verfügung und die Linux wäre ganz aus dem Nw verschwunden.
Mit einer billigen DS (gebraucht) ist es noch einfacher, da hier mit der Central Mangement App von Synology via Port 5001 und dem Hyperbackup Port eine direkte Kommunikation/Verwaltung des Backupservers erfolgt. Deaktiviert man dann in der kleinen DS alle Nw-Protokolle, Firewall komplett zu überlebt diese jeden Angriff.
Verfahren, in denen RSYNC oder DSM kompromittiert wurden sind zumindest mir bisher nicht bekannt.

Was du auch machen könntest wäre auf dem Linux Server ein DSM zu installieren: https://xpenology.org/

 

[bz-mof]

Hallo,

danke euch beiden für die vielen zusätzlichen Infos!

Ich denke das hilft mir alles gut weiter, um meine Strategie sinnvoll zu erweitern. Vielen Dank nochmal!