Schutz vor Ransomware

Status
Für weitere Antworten geschlossen.

dil88

Benutzer
Contributor
Sehr erfahren
Mitglied seit
03. Sep 2012
Beiträge
30.678
Punkte für Reaktionen
2.079
Punkte
829
Gegen Synolocker ist es nicht gefeit, andere Ansätze schon.
 

xamoel

Benutzer
Mitglied seit
24. Nov 2011
Beiträge
1.006
Punkte für Reaktionen
2
Punkte
58
@Hafer: ich hab jetzt meine externe USB und schaltbare Steckdose endlich, sehe aber als Backup keine Möglichkeit, zu versionieren? Das wäre ja mein gewünschtes Backup für die externe Platte, versioniert in Datenbank. Wie machst du das?
 

dil88

Benutzer
Contributor
Sehr erfahren
Mitglied seit
03. Sep 2012
Beiträge
30.678
Punkte für Reaktionen
2.079
Punkte
829
Das bietet erst Hyper-Backup unter DSM 6.0. Bis DSM 5.2 wird die Funktion durch das Paket Time Backup bereitgestellt, das aber ausläuft.
 

Perry2000

Benutzer
Mitglied seit
05. Nov 2012
Beiträge
829
Punkte für Reaktionen
16
Punkte
44
Es muss zu allem also auch noch ein neues DSM her :eek:
 

Hafer

Benutzer
Mitglied seit
03. Okt 2014
Beiträge
855
Punkte für Reaktionen
12
Punkte
38
Oder bei 5.2 und time backup bleiben

Gruß Hafer
 

xamoel

Benutzer
Mitglied seit
24. Nov 2011
Beiträge
1.006
Punkte für Reaktionen
2
Punkte
58
Also, eine FritzDECT200 zeitschaltbare Steckdose plus externe HDD klappt hervorragend an der DS, wird automatisch nach Ende des Backups ausgeworfen, und mit der Steckdose ausgeschaltet.

Wie oft lasst ihr das laufen? Momentan laufen alle meine Backups täglich, aber da kriegt man es vielleicht nicht mit, wenn das System kompromittiert wird, und dann ist das Backup auch hinüber. Ich überlege grade es einmal wöchentlich laufen zu lassen.
 

Super-Grobi

Benutzer
Mitglied seit
28. Sep 2010
Beiträge
1.913
Punkte für Reaktionen
0
Punkte
62
Die automatisierten ( PC's backupen zur DS versioniert, DS backupt PC-Backups und eigene Daten zu anderer DS, nicht versioniert (glaub ich)) laufen täglich, bzw alle zwei Tage,.

Komplett manuell, mit abgestöpseltem System (das aber auch hier im Raum steht) mache ich einmal im Monat, versioniert.(überlege aber auf 14 tägig zu erhöhen)

und zweimal im Jahr wird eine Platte die außer Haus liegt upgedatet,, nicht versioniert.

Grüße
Jörg
 
Zuletzt bearbeitet:

Hafer

Benutzer
Mitglied seit
03. Okt 2014
Beiträge
855
Punkte für Reaktionen
12
Punkte
38
Wie oft lasst ihr das laufen? Momentan laufen alle meine Backups täglich, aber da kriegt man es vielleicht nicht mit, wenn das System kompromittiert wird, und dann ist das Backup auch hinüber.

Hängt von der Veränderungsgeschwindigkeit/Veränderungsaufwand ab. Ich lasse das jede Nacht durchlaufen, allerdings versioniert.

Gruß Hafer
 

Perry2000

Benutzer
Mitglied seit
05. Nov 2012
Beiträge
829
Punkte für Reaktionen
16
Punkte
44
Auf Seite 2 hatte ich geschrieben:
Mal so als Gedankenanstoss für Euch.
Ich sichere meinen Server Abends auf die 412er. Danach sichert sich die 412er über VPN auf die 413. Diese steht in einem anderen Gebäude. Damit ich die Gefahr einer Verschlüsselung möglichst gering halte läuft das Ganze so ab:
Tagsüber wird gearbeitet auf dem Server. Alle Synos sind aus. Abends startet die 412 und es wird gesichert. Später startet die 413 und empfängt die Sicherung von der 412. Vor der erste Benutzer morgens kommt, sind die Synos wieder aus. Somit ist ein springen des Virus während der Arbeitszeit unterbunden. Es sei denn, er kommt direkt auf die Syno.....
Natürlich mache ich Versionensicherungen, aber im Klartext. Das heisst ich kann von jeder Syno jede Datei herstellen, ohne ein Backup Programm zu benutzen. Die Sicherung läuft jeden Tag in den Tagesordner = Mo in Mo, Di in Di usw. Ende Woche sichert sich die Wochensicherung in den Monatsordner. Somit habe ich immer 30 Tage im Klartext.
Einmal im Monat kommt die aktuellste Tagessicherung noch auf eine USB HD, die natürlich danach wieder getrennt wird. Dies nur für den schlimmsten Fall.

Schön dass Ihr Euch bereits auf Seite 5 meinem Konzept annähert ;-)
 

xamoel

Benutzer
Mitglied seit
24. Nov 2011
Beiträge
1.006
Punkte für Reaktionen
2
Punkte
58
Na gut, dann erkläre ich kurz mein Sicherungskonzept.

Bei mir direkt steht eine DS3611xs, mit externer USB Platte mit FritzDECT200 schaltbarer Steckdose.
Extern steht eine RS3614xs+ und DS115j.

Die 3611xs sicher täglich mit Sync gemeinsamer Ordner zur 3614xs+, und täglich zur USB Platte, die sich danach wieder ausschaltet.

Die 3614xs+ sicher täglich per Sync gemeinsamer Ordner zur 3611xs, und täglich mit versioniertem Datenbank-Backup zur 115j.

Ich habe also auf der 3611xs und 3614xs+ immer eine komplette Kopie aller Daten, sofort verfügbar.

Zusätzlich hab ich auf der USB Platte nochmal eine einfach Kopie, ebenfalls aller Daten, offline verfügbar.

Zusätzlich auf der 115j eine versionierte Datenbank sämtlicher Daten.

Was kann verbessert werden: Die USB-Platte sollte versioniert werden, geht aber erst wenn ich auf DSM6 upgrade (falls ich das tue).

Anmerkungen, Verbesserungsvorschläge, Denkfehler?
 

jugi

Benutzer
Mitglied seit
07. Apr 2011
Beiträge
1.853
Punkte für Reaktionen
0
Punkte
56
@xamoel: Dein Setup (und viele andere auch) ist anfällig für ein SynoLocker-ähnliches Schadprogramm, welches auf den Synos läuft und die externe HDD im falschen Moment mitverschlüsselt - da wäre dann auch egal, ob es versioniert ist oder nicht.
Für genau diesen (zugegebenermaßen sehr speziellen Fall) habe ich selber allerdings auch noch keine zufriedenstellende Lösung. Ein einfaches erhöhen der externen HDDs minimiert zwar das Risiko, treibt aber eben auch den Aufwand hoch.

Einzige mir momentan sinnvoll erscheinende Lösung wäre ein extrem abgeschotteter Server, der sich die Daten aktiv von der DS holt und dann versioniert sichert - ich überlege sowas mit meinem jetzt arbeitslosen rPi2 machen, bin aber bisher noch nicht dazu gekommen.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
Versioniertes Backup mittels TimeBackup auf eine zweite DS.

Wüßte jetzt nicht, wie der Virus Files kompromittieren sollte, die auf einem anderen Server liegen, der nur für das Backupprotokoll (bzw. rsync) offen ist.
 

jugi

Benutzer
Mitglied seit
07. Apr 2011
Beiträge
1.853
Punkte für Reaktionen
0
Punkte
56
Backup […] auf eine zweite DS.
In so einem Szenario würde ich dann davon ausgehen, dass alle DS im Netzwerk befallen sein können/sind. Daher sollte wenigstens ein Server mit einem anderen OS laufen (daher der rPi2). Klar hilft auch das wieder nicht viel, wenn es eine Lücke in sowas wie OpenSSH ist und das von beiden Servern verwendet wird - aber das wäre dann ein sehr spezialisierter Angriff und dann sind wir auch wieder bei "sicher ist gar nichts".
=> Mir ging es nur darum nicht alles auf den DSen zu machen, damit es keinen SPOF gibt, der alles öffnet.

…das ganze ist sowieso zugegebermaßen sehr unwahrscheinlich - aber er fragte ja nach Lücken :D
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
In so einem Szenario würde ich dann davon ausgehen, dass alle DS im Netzwerk befallen sein können/sind.

"Könnten" vielleicht, aber wenn du sie explizit als Backupserver aufstellst, ist die Kiste ja geschlossen und ein Zugriff von anderer Seite nicht möglich bzw. sollte nicht gemacht werden.
 

Iarn

Benutzer
Sehr erfahren
Mitglied seit
16. Jun 2012
Beiträge
3.017
Punkte für Reaktionen
428
Punkte
149
Natürlich erhöhen verschiedene OS die Sicherheit allerdings ist zu hinterfragen, wie wahrscheinlich eine nicht zum Netz offene Synology kompromittiert werden kann. Natürlich ist eine Weiterverbreitung innerhalb eines Netzwerkes mit einem gekaperten Rechner möglich aber zumindest mir ist bisher kein solcher Fall bekannt. Bei allen bisher bekannten Angriffsvektoren waren Ports zum Internet offen.
Ein aus meiner Sicht sicheres Setup wäre eine zweite Synology an einen zweiten LAN Port der ersten zu legen ohne weiteren WAN/LAN Zugang. Diese schreibt ein versioniertes Backup der ersten. Sperrt man bei der zweiten Synology auf dem LAN Port, der mit der ersten verbunden ist, noch die nicht benötigten Ports, dürfte es ein Angreifer extrem schwer haben.
 

xamoel

Benutzer
Mitglied seit
24. Nov 2011
Beiträge
1.006
Punkte für Reaktionen
2
Punkte
58
Also ich sehe das versionierte Datenbank-Backup schon als sichere Möglichkeit gegen Synolocker o.Ä. an, da die 115j ja keinen Zugriff aufs Internet hat, sondern ausschliesslich Daten via Rsync erhält, wie soll Synolocker das verschlüsseln?
 

Hafer

Benutzer
Mitglied seit
03. Okt 2014
Beiträge
855
Punkte für Reaktionen
12
Punkte
38
Schön dass Ihr Euch bereits auf Seite 5 meinem Konzept annähert ;-)

Wer steuert die backups zurück, wenn du platt unter'm Schulbus liegst?

Nicht, dass ich dir oder irgendjemandem sonst wünsche, aber vorstellen muss man sich das. Es kann ja auch der Jahresurlaub sein. Deshalb sollten die Nutzer Backups im Ernstfall auch selbst zurückspielen können (nicht desaster recovery, sondern die eigenen Daten)

Gruß Hafer
 

jugi

Benutzer
Mitglied seit
07. Apr 2011
Beiträge
1.853
Punkte für Reaktionen
0
Punkte
56
An im Netz erreichbare NAS dachte ich eigentlich gar nicht, eher an interne Angriffe von manipulierten Client-PCs bzw. das springen von einer DS auf eine andere über das DSM oder andere verbreitete Pakete. Da geht es dann darum, dass ein kompromittierter Quellserver im Idealfall von einem Backupserver gar nichts weiß (und ihn auch nicht via Broadcast o.ä. erreichen kann).

Ich schrieb ja aber auch schon, dass das wirklich sehr unwahrscheinlich ist - und fahre momentan auch versionierte Backups auf eine interne und eine externe DS.
 

t_korth

Benutzer
Mitglied seit
26. Feb 2016
Beiträge
20
Punkte für Reaktionen
0
Punkte
7
Hallo, meine lieben Mitdenker,

warum auch immer klappte die Benachrichtigung bei neuen Einträgen nicht und ich war schon ganz traurig, dass niemand mein Problem erkennt oder Ideen entwickelt.
Aber weit gefehlt ... 6 Seiten Diskussion. Krass.

Wir haben hier bei uns intern auch zweimal diskutiert und haben mittlerweile folgende Lösung im Aufbau:

1. Wir haben unsere Backup-Synology (RS3614xs+ mit 42 TB Speicherplatz) um eine RX1214 (mit 12x 8 TB Archive HDDs) erweitert.
2. Die RX1214 haben wir als Volume2 eingebunden, das nicht von außen erreichbar ist (wird gerade aufgebaut)
3. Danach wollen wir Time Backup nutzen, um zwei Versionen der Backup-Volume1-Partition auf Volume2 zu speichern

Uns bekannte Nachteile sind:
- wir sind auf das Prüfen der geschriebenen Backups angewiesen (erledigt die Backup-Software)
- die neusten Sicherungen werden ggf verschlüsselt
- bei Ransomware, die nur nach und nach Dateien verschlüsselt, sind wir machtlos, da wir bei 3 gespeicherten Generationen dann irgendwann auch die verschlüsselten Dateien sichern

Wir sind allerdings dagegen einigermaßen gesichert, wenn Ransomware im Netzwerk herunwurschtelt und massenweise Dateien verschlüsselt; bei zwei unserer Kunden wurde innerhalb eines Vormittags die komplette IT lahmgelegt - da hätten wir dann noch Sicherungen der letzten 2 Tage.

Die nächsten Schritte sind, dass wir im Nachbargebäude das selbe aufbauen und dort weitere Versionen automatisch speichern.

Außerdem gibt es keine gleichen "Backup"-Benutzer mehr, die auf ein gemeinsames Verzeichnis schauen und dann in "ihren" Rechner-Verzeichnissen die Sicherungen abspeichern. Es wird für jeden Rechner einen Login geben. So würde bei einem Rechner-Befall auch nur das Backup des einen Rechners/Servers betroffen sein.

Bei den vielen Beiträgen habe ich immer wieder gelesen, dass man die Zeit haben muss, mal eine USB Platte an- und abstöpseln zu wollen.
Wenn man jedoch täglich 25 GB Daten sichert, dann geht das nicht mehr ganz so einfach. Eventuell müsste man über mehrere (kleinere) Synologies nachdenken, wovon jeweils eine an einem Tag automatisch hoch- und wieder runterfährt. à la "Montags-Synology", "Dienstags-Synology" ... etc. mit der selben IP-Adresse und den selben Freigaben. Aber das war uns im ersten Schritt zu aufwändig.

Seht ihr bei unserem Plan noch grobe Fehler?


Grüße

Tino
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat