Liebe Synology-Gemeinde,
ich bin mir etwas unsicher diesen Thread aufzumachen, noch einen Sicherheitsthread..... für mich ergibt sich hier manchmal folgendes Bild: es gibt so viele, wichtige Threads die sich irgendwie mit dem Thema Sicherheit befassen und überall lese ich total wichtige Hinweise und Ideen, die Sicherheit zu erhöhen. Allerdings liegen diese Perlen der Weisheit überall verstreut. Mal zu Thema Ransomware, mal zum Thema Zugänge zur NAS oder wenn etwas bei einem Backup schief gelaufen ist und anschließend richtig gute Tipps gepostet werden. Meine Intention mit diesem Thread ist es, all diese guten Ratschläge und Ideen, bereichsübergreifend einmal zu sammeln. Und jetzt nicht die gaaaanz ersten Dinger wie, nicht alle Ports zu öffnen oder MFA für die Admins noch einmal durchzukauen, sondern wirklich die etwas höhere Schule der Sicherheitsthematik zu bedienen. Hier mal ein paar Beispiele. Übrigens das A und O sind natürlich Backups und keine dieser weiterführenden Tipps kann die Grundsätze ersetzen, sondern lediglich für ein wenig mehr Sicherheit sorgen. Á la, 80% Absicherung durch die ersten und einfachsten Kniffe und die restlichen 5% und 2% und 1% durch die weiterführenden Hilfen:
- User: ruhig mehrere User auf der DSM erstellen (oder unterschiedlichen DSMs erstellen), für unterschiedliche Aufgaben und auch nur ganz restriktive Erlaubnisse geben. Sofern ein Windows-Rechner einmal kompromittiert ist und eine Zugangsberechtigung abgefangen wird, nicht alle Systeme und Backups im Eimer sind... BTW selbst MFAs sind schon geknackt worden...
- Habe mir gedacht, vielleicht sogar ne kleine Linux-Distro auf irgendeinen Uralt-PC oder Stick zu ziehen und nur von da aus als Admin auf die NAS einloggen. Da ist das Risiko das einer Mitliest auch noch einmal kleiner.
- Backups generell von der NAS abziehen, um Ransomeware ganz physikalisch an der weiterfahrt zu hindern.
- Snapshops in ausreichender Anzahl und Zeit immutable machen.
- Wenn möglich, auf QuickConnect verzichten und lieber per VPN auf die NAS zugreifen. Auch wenn ne kurze Einstellung erforderlich ist, kann sich lohnen.
- Bei Windows Rechner, nicht alle Bereiche der NAS mounten. Wenn man an irgendetwas nicht oft ran muss, vielleicht lieber nur für den Zweck mounten.
- 3-2-1 ist logisch.
- Tomms hat irgendwann mal einen richtig guten Beitrag zu den "Pull Backups" geschrieben. Leider ist der nicht mehr erreichbar. Vielleicht kann er ja dazu noch etwas ausführen
Und jetzt würde ich mich über ganz viele weitere, große und kleine Ideen freuen, wir ihr eure Systeme noch sicherer macht. Einfache Reposts aus anderen Threads sind auch erlaubt und erwünscht, ich glaube es ist alle schon irgendwo geschrieben, nur noch nicht zusammenhängend Niemand muss ja auch alles umsetzen, geht ja nur erst einmal um eine Sammlung.
Adventliche Grüße und sichere Weihnachten
ich bin mir etwas unsicher diesen Thread aufzumachen, noch einen Sicherheitsthread..... für mich ergibt sich hier manchmal folgendes Bild: es gibt so viele, wichtige Threads die sich irgendwie mit dem Thema Sicherheit befassen und überall lese ich total wichtige Hinweise und Ideen, die Sicherheit zu erhöhen. Allerdings liegen diese Perlen der Weisheit überall verstreut. Mal zu Thema Ransomware, mal zum Thema Zugänge zur NAS oder wenn etwas bei einem Backup schief gelaufen ist und anschließend richtig gute Tipps gepostet werden. Meine Intention mit diesem Thread ist es, all diese guten Ratschläge und Ideen, bereichsübergreifend einmal zu sammeln. Und jetzt nicht die gaaaanz ersten Dinger wie, nicht alle Ports zu öffnen oder MFA für die Admins noch einmal durchzukauen, sondern wirklich die etwas höhere Schule der Sicherheitsthematik zu bedienen. Hier mal ein paar Beispiele. Übrigens das A und O sind natürlich Backups und keine dieser weiterführenden Tipps kann die Grundsätze ersetzen, sondern lediglich für ein wenig mehr Sicherheit sorgen. Á la, 80% Absicherung durch die ersten und einfachsten Kniffe und die restlichen 5% und 2% und 1% durch die weiterführenden Hilfen:
- User: ruhig mehrere User auf der DSM erstellen (oder unterschiedlichen DSMs erstellen), für unterschiedliche Aufgaben und auch nur ganz restriktive Erlaubnisse geben. Sofern ein Windows-Rechner einmal kompromittiert ist und eine Zugangsberechtigung abgefangen wird, nicht alle Systeme und Backups im Eimer sind... BTW selbst MFAs sind schon geknackt worden...
- Habe mir gedacht, vielleicht sogar ne kleine Linux-Distro auf irgendeinen Uralt-PC oder Stick zu ziehen und nur von da aus als Admin auf die NAS einloggen. Da ist das Risiko das einer Mitliest auch noch einmal kleiner.
- Backups generell von der NAS abziehen, um Ransomeware ganz physikalisch an der weiterfahrt zu hindern.
- Snapshops in ausreichender Anzahl und Zeit immutable machen.
- Wenn möglich, auf QuickConnect verzichten und lieber per VPN auf die NAS zugreifen. Auch wenn ne kurze Einstellung erforderlich ist, kann sich lohnen.
- Bei Windows Rechner, nicht alle Bereiche der NAS mounten. Wenn man an irgendetwas nicht oft ran muss, vielleicht lieber nur für den Zweck mounten.
- 3-2-1 ist logisch.
- Tomms hat irgendwann mal einen richtig guten Beitrag zu den "Pull Backups" geschrieben. Leider ist der nicht mehr erreichbar. Vielleicht kann er ja dazu noch etwas ausführen
Und jetzt würde ich mich über ganz viele weitere, große und kleine Ideen freuen, wir ihr eure Systeme noch sicherer macht. Einfache Reposts aus anderen Threads sind auch erlaubt und erwünscht, ich glaube es ist alle schon irgendwo geschrieben, nur noch nicht zusammenhängend
Niemand muss ja auch alles umsetzen, geht ja nur erst einmal um eine Sammlung. Adventliche Grüße und sichere Weihnachten
