Sicherungs-Strategie hinterfragen

servilianus

Benutzer
Mitglied seit
26. Dez 2017
Beiträge
898
Punkte für Reaktionen
244
Punkte
63
Ah, danke für diese Denkanstöße! Ich dachte immer, dass sich Viren/Trojaner sozusagen selbst entpacken und den "Wirt" befallen (können), schon sobald / in dem Moment sie auf dem Sicherungsmedium eingetroffen sind - also ohne Zutun des Users. Dann hat die Versionierung natürlich Sinn, wenn ich diese evtl. befallenen Daten im Backup gar nicht anfasse, sondern zurückgehe.
 

Kachelkaiser

Benutzer
Sehr erfahren
Mitglied seit
22. Feb 2018
Beiträge
1.956
Punkte für Reaktionen
782
Punkte
134
in Backup ist eine inaktive Version der Daten. Selbst wenn da eine ausführbare Datei drin liegt, wie sollte sie ausgeführt werden ? Ich habe eine Mailarchivdatei von vor 10 Jahren. In einer E-Mail liegt dort noch ein Trojaner. Wenn ich einen Virenscanner drüber laufen lasse, werde ich gewarnt. Ist trotzdem im Backup ungefährlich.
Aber ist es dann icht egal, ob Schieben oder ziehen?
 

servilianus

Benutzer
Mitglied seit
26. Dez 2017
Beiträge
898
Punkte für Reaktionen
244
Punkte
63
Denke nein, denn wenn der Server1 infiziert wurde, dh., die toxischen Daten dort tatsächlich ausgeführt worden sind, "wissen" die Viren ja beim Schieben das PW von Server2, z.B. das Administratorenkonto des Servers2. Umgekehrt ist das nicht möglich.
 
  • Like
Reaktionen: Kachelkaiser

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.098
Punkte für Reaktionen
2.065
Punkte
259
Die bessere Strategie heißt "Ziehen" - das hat aber nichts mit dem Inhalt des Backups zu tun. Wenn da inaktive Trojaner konserviert sind, passiert nichts. Man muss nur aufpassen beim Zurückspielen und Aktivieren des Backups.

Wenn "Schieben" die Strategie ist, liegen auf dem zu sichernden Server Zugangsdaten für das Backupziel. Wenn auf dem zu sichernden Server (oder einem anderen Rechner im Netzwerk) ein Random-Trojaner aktiv ist, ist es möglich, dass er selbst darüber Zugriff auf den Backupserver bekommt, und ihn verschlüsselt.
 
  • Like
Reaktionen: Kachelkaiser

Kachelkaiser

Benutzer
Sehr erfahren
Mitglied seit
22. Feb 2018
Beiträge
1.956
Punkte für Reaktionen
782
Punkte
134
Danke für Euer Update. Damit ist es für mich klarer, warum Ziehen besser ist als schieben.
 
Zuletzt bearbeitet:

ebusynsyn

Benutzer
Sehr erfahren
Mitglied seit
01. Jun 2015
Beiträge
458
Punkte für Reaktionen
271
Punkte
119
In der Zwischenzeit habe ich meine Backup-Strategie nicht nur hinterfragt, sondern mit gütlicher Mithilfe einiger heller Köpfe hier im Forum neu aufgesetzt. Vorab habe ich mein Haupt-NAS entrümpelt (vieles archiviert) und wirklich nur noch jene Daten drauf, die kurzfristig relevant sein könnten oder täglich neu entstehen.

Haupt-NAS: DS620slim (Arbeitsgerät, Synchronisiert mit MacBookPro)
Darauf sind alle Daten, die im Laufe eines tages anfallen. Dokumente, Fotos etc. und auch das TimeMachine-Backup. Dieses NAS läuft 24 Std durchgehend und ist von aussen zugänglich. Die mir bekannten und als Laie umsetzbaren Schutzeinrichtungen sind vorhanden. Mir ist klar, dass ich hier ein gewisses Risiko eingehe. Aber so ist das Leben. No risk no fun.

Backup-NAS 1 (DS918+, automatisiert)
Installierte App: Active Backup for Business
- Um 06:00h wird ein VollBackup vom Haupt-NAS gezogen (Spiegeln)
- Um 13:00h wird nur Time-Machine-Backup vom Haupt-NAS gezogen (Spiegeln)
- Um 20:00 wird ein zweites VollBackup vom Haupt-NAS gezogen (versioniert)

Wird dieses NAS nicht nicht verwendet, ist es heruntergefahren und stromlos.

Backup-NAS 2 (DS415+, manuell)
Alle 14 Tage melde ich mich auf meinem Haupt-NAS an und starte von Hand eine HyperBackup-Aufgabe auf das Backup-NAS 2. Das ist dann wieder ein VollBackup. Also alles was im Haupt-NAS liegt wird gesichert. Warum HyperBackup? Zur Selbstkontrolle. Weil ich mich so am Haupt-NAS anmelden muss und prüfen kann bevor ich sichere, ob noch alles in Ordnung ist. Dieses Backup mache ich nur aus dem Grund, falls das automatisierte Backup auf Backup-NAS 1 'unbemerkt verseucht' sein sollte, ich die Daten noch habe. Zwar mit 14 Tagen Rückstand, aber immerhin. Auch dieses NAS ist primär stromlos und wird bei Bedarf eingeschaltet.

Synology-Cloud C2
- Jeden Tag um 12 Uhr werden die Daten (ohne Fotos, ohne TimeMachine) in die Synology-Cloud gesichert.

So, das wäre also meine aktuelle Sicherung-Strategie. Hört sich das vernünftig an ... oder eher paranoid :)
 
  • Like
Reaktionen: Synchrotron

servilianus

Benutzer
Mitglied seit
26. Dez 2017
Beiträge
898
Punkte für Reaktionen
244
Punkte
63
Danke für die Darstellung! Auch ich würde ja meine Haupt-Nas mit Active Backup for Business sichern. Jedoch bin ich da zwischen Baum und Borke:

Einerseits funktioniert ActiveBackup "ziehend", das heisst, es wählt sich auf der Haupt-Nas ein. Hyperbackup funktioniert leider nur umgekehrt, d.h., ich müsste für Hyperbackup auf der Haupt-Nas das Passwort der Backup-Nas hinterlegen = aus Sicherheitsgründen nicht empfehlenswert, falls die Haupt-Nas verseucht sein sollte.

Andererseits jedoch - und das macht mir Active Backup eigentlich zu heiss - kann AB die Sicherung wohl nur in einem unverschlüsselten Ordner ablegen. Was ist, wenn der Backup-Server gestohlen wird? Oder hat Synology hier inzwischen nachgebessert?

Alternative für eine ziehende Sicherung und ActiveBackup wäre z.B. Ultimate Backup. Nur weiss ich nicht, ob UB auch die ganzen Applikationen sowie MariaDB-Datenbank mitsichert...

Daher werde ich mich an einer Mischung probieren: Die Haupt-NAS sichert per Hyperbackup auf eine NAS1. Von dort wird die Hyperbackup-.hbk-Datei dann von Ultimate-Backup in einen verschlüsselten Ordner auf einer NAS2 gezogen.
 

ebusynsyn

Benutzer
Sehr erfahren
Mitglied seit
01. Jun 2015
Beiträge
458
Punkte für Reaktionen
271
Punkte
119
Andererseits jedoch - und das macht mir Active Backup eigentlich zu heiss - kann AB die Sicherung wohl nur in einem unverschlüsselten Ordner ablegen. Was ist, wenn der Backup-Server gestohlen wird? Oder hat Synology hier inzwischen nachgebessert?
Ob Synology hier nachgebessert hat, weiss ich nicht. Ich werde deinem Hinweis aber mal nachgehen.

In der Tat hatte ich den Gedanken hinsichtlich eines möglichen Diebstahls auch. Auch an einen Brand habe ich gedacht, und auch daran, das NAS im 120km entfernten Zuhause meines Vaters aufzustellen. Habe mich dann aber für die aktuelle Lösung entschieden.

Ich glaube es ist immer eine Risikoabwägung die einbezogen werden sollte und eine Lösung für wirklich alle Eventualitäten wird schwierig sein, denn die Kosten (hier Privathaushalt) sollten ja auch nicht ins unermessliche steigen. Und anwenderfreundlich sollte es ja auch noch sein. Unternehmen müssen da sicherlich anders herangehen.

Ich werde mal die nächste Zeit mit dieser Lösung arbeiten und gegebenenfalls punktuell nachbessern.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.096
Punkte für Reaktionen
571
Punkte
194
Das wäre mir zu kompliziert und aufwändig. Viel einfacher und absolut sicher geht es so (hatte ich schon mal an anderer Stelle gepostet):

1 kleine DS mit einer IP ausserhalb des eigenen LAN.
Es wird nur eine App installiert:
- Hyperbackup Vault
Alle anderen Apps werden soweit möglich deinstalliert.
In der Firewall wird alles zugemacht ausser den beiden Ports für Hyperbackup und 5001 für den Remotezugriff.
In der Firewall wird für diese beiden Apps nur die IP der Haupt-Syno sowie eine IP für den direkten Anschluss eines PCs/Notebooks eingetragen um notfalls so noch auf diese DS auf anderem Weg zugreifen zu können.
Das war es am Datensicherungsserver.

In der Haupt-Syno wird benötigt
- 2 Nw-Ports, einer nur für das Backup. Das liesse sich mit einem USB Adapter für die 1-Port Synos nachrüsten. Die beiden Synos werden dann mit einem LAN-Kabel direkt miteinander verbunden.
- DSM Management System
- Hyperbackup
Mit dem Managementsystem wird die Backup-Syno remote betrieben via Port 5001. Das lässt sich zusätzlich noch mit einem Zertifikat schützen.
Hyperbackup wird mit dem Hyperbackup Vault gekoppelt.

Da die beiden Synos nun in unterschiedlichen Netzen laufen und nur über 2 unübliche Ports und wichtig basierend auf nicht routingfähigen Protokollen miteinander kommunizieren kann sich Ransomware hier nicht einklinken.
Werden wirklich Dateien im Hauptsystem, verschlüsselt werden diese natürlich immer noch per Backup gesichert, denn davon merkt Hyperbackup nichts, aber das spielt ja keine Rolle, da alle vorherigen Sicherungen davon nicht betroffen sind weil inkrementell.
Ideal wäre noch, wenn nur der Backupserver die Datensicherung initieren könnte, also ein pull, aber das geht leider (noch?) nicht.
 

servilianus

Benutzer
Mitglied seit
26. Dez 2017
Beiträge
898
Punkte für Reaktionen
244
Punkte
63
Aber bei Deinem Weg wäre die Sicherungs-Syno im selben Ort wie die Haupt-Syno: Feuer/Brand/Überspannung? Was wäre Dein Weg, wenn die Sicherungs-Syno an einem anderen Ort stünde?
 

synfor

Benutzer
Sehr erfahren
Mitglied seit
22. Dez 2017
Beiträge
9.031
Punkte für Reaktionen
1.614
Punkte
308
Da die beiden Synos nun in unterschiedlichen Netzen laufen und nur über 2 unübliche Ports und wichtig basierend auf nicht routingfähigen Protokollen miteinander kommunizieren kann sich Ransomware hier nicht einklinken.
Die Bedingung mit den nicht routingfähigen Protokollen ist aber gar nicht erfüllt. Wenn sich Quelle und Ziel in unterschiedlichen Netzwerken befinden, kann sie auch gar nicht erfüllt werden. Außerdem muss sich die Ransomware da gar nicht einklinken, wenn sie das Passwort für den User hat, der die Hyperbackup-Jobs anlegen, ändern und löschen, sowie die Versionen löschen kann.
 
  • Like
Reaktionen: Synchrotron

Simon88

Benutzer
Mitglied seit
09. Mrz 2015
Beiträge
190
Punkte für Reaktionen
15
Punkte
18
Egal ob "ziehen" oder "schieben" - es werden immer Zugangsdaten des anderen NAS gespeichert, sonst könnte man ja kein automatisches Backup machen. Es ist also lediglich reine Wahrscheinlichkeitsrechnung, dass "ziehen" ungefährlicher ist als "schieben" - da das Backup-NAS meistens schlicht weniger lange läuft als das Haupt-NAS und daher weniger Zeit bleibt um verseucht zu werden.
Dazu kommt, wenn ein Backup-NAS nichts anderes macht als "Backups ziehen" - bietet es weniger Angriffsfläche zur Infektion von sich selbst, sowie zur Streuung auf andere Geräte, da weniger Dienste laufen / weniger "sternförmige" Zugriffe von allen Seiten / diversen Systemen (PC, Tablet, Handy usw.) erfolgen.
Zudem kann man dem Backup-NAS die Möglichkeiten nehmen aufs Internet zuzugreifen (z.B. Kindersicherung der Fritzbox)
Aber man sollte das nicht so aussehen lassen, als würden beim "ziehen" keine Zugangsdaten gespeichert.
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.098
Punkte für Reaktionen
2.065
Punkte
259
Du machst einen Denkfehler:

NAS 1 = Quelle, aktives NAS im allgemein genutzten Netzwerk
NAS 2 = Backup-Ziel, ansonsten vom übrigen Netzwerk entkoppelt

NAS 1 muss nichts über NAS 2 wissen. Es muss nur wissen, wenn da jemand anklopft und die richtigen Zugangsdaten hat, liefere ich dorthin Daten. Die Daten werden "verpackt" geliefert. NAS 1 muss nichts über NAS 2 wissen, insbesondere keine Zugangsdaten.

NAS 2 kennt die Zugangsdaten zu NAS 1. Es meldet sich dort an und zieht sich das Backup. Auch während diese Verbindung steht, kann NAS 1 nicht auf NAS 2 zugreifen, denn es hat keine Zugangsdaten. Die sind im gesamten Netz von NAS 1 nirgendwo vorhanden. Kommen jetzt die Backupdaten auf NAS 2 an, werden sie dort nicht aktiviert, sondern nur archiviert. Selbst wenn da ein Trojaner drin steckt, kommt er nie zur Ausführung.

NAS 2 kappt die Verbindung, sobald das Backup komplett ist, und geht bis zum nächsten Backup wieder "schlafen". NAS 2 ist auf zwei Arten entkoppelt: Erstens durch ein eigenes Netzwerk (VLAN), zweitens dadurch, dass im allgemeinen Netz nirgendwo Zugangsdaten liegen. Damit das funktioniert, muss NAS 2 so eingestellt sein, dass es sich das Backup selbständig "zieht". Mit Synology-Bordmitteln heißt das "Active Backup für Business".
 

Simon88

Benutzer
Mitglied seit
09. Mrz 2015
Beiträge
190
Punkte für Reaktionen
15
Punkte
18
Vielen Dank für die Erklärung, könnte mich auf eine andere Ebene bringen.

Muss ich noch einmal über alles nachdenken - insbesondere mit dem VLAN, was da möglich ist. Habe damit keine Erfahrung.
Bin sicherheitstechnisch noch auf der Suche nach Lektüre, das zu verschärfen. Habe mich zwar durch alle Einstellungen gehangelt, nur wird es noch mehr Möglichkeiten geben, als mir bislang erscheint.
Der Cisco Switch kann VLAN, die Fritzbox weiß ich jetzt nicht und ob das überhaupt wichtig wäre.
Könnte evtl. ein Weg sein den Schutz zu maximieren, da ich das zweite NAS nicht vertrauenswürdig extern bunkern kann und das zusätzlich auch an den Übertragsungsraten / Traffic scheitern würde. Sehe jetzt schon trotz 1 Gbit LAN wie mühsam das alles ist und wünschte mir Preisverfall bei 10 Gbit Technik, die Leitungen geben es her. Vor Jahren belächelte man noch Gbit als für den Privatmann overkill. Sicherlich bleibt noch das Rest-Risiko Brand, Wasser, Diebstahl - aber sobald es im Keller ist, hat es eine Überlebenschance.

Nur auf NAS 2 (Backup-NAS) sind die Zugangsdaten zu NAS 1 (Produktiv NAS) fest gespeichert, damit es sichern kann.
Meine Gedanken gingen in die Richtung, würde jemand NAS 2 hacken, kann er dadurch nicht an die Zugangsdaten zu NAS 1 kommen oder welchen Schaden kann man dadurch sozusagen rückwärts anrichten ?
Gut, das VLAN ... aber nachdem ich irgendwie Zugriff haben muss, alleine schon zur Administration / Updates usw. - könnte das ein Hacker dann trotz VLAN nicht auch ?
Bei Snapshot Replikation > Replikation wollte es ja auch meine Admin-Zugangsdaten.
Sind die so sicher und verschlüsselt gespeichert, dass kein Bug oder sonst wie ausgenutzt werden könnte, um die gespeicherten Zugangsdaten im Klartext zu haben / zu entschlüsseln ?
Oder kann man nur einen Backup-User speziell für Dienst "Active Backup für Business" auf NAS 1 anlegen, der sich nicht per DSM einloggen könnte, somit ziemlich nutzlos wäre im Fall der Fälle.
Nachdem er "zieht" kann er zumindest keine Daten mit verseuchten oder verschlüsselten auf der Quelle überschreiben, um rückwärts Schaden anzurichten.
Ob das DSM selbst sicher ist, weiß ich nicht - also der Hacker das DSM von NAS 2 verseucht, ich greife per Windows-PC zu, der Windows-PC verseucht dann beim nächsten Login dann NAS 1 oder die Shares - aber gut, geht dann wohl ins Paranoide.
Es ist schon einmal viel Wert, dass das Backup NAS 2 nicht per I-Net erreichbar ist, nicht einmal theoretisch, da in der Fritzbox gesperrt. VPN als Fernzugriff brauche ich nicht.

Mit den Synology-Boardmitteln stehe ich etwas auf Kriegsfuß, nachdem der erste Anlauf mit "Snapshot Replikation > Replikation" nicht das gewünschte Ergebnis lieferte.
Zu "Active Backup für Business" suche ich noch mehr Infos, da ich aktuell nur theoretisch, aber nicht praktisch spielen kann - solange es noch die Daten vom alten auf das neue NAS kopiert. Es scheint jedoch die einzige der Synology Lösungen zu sein, die als zuverlässig bewertet wird. Auch bei Reddit posten oft schlaue Köpfe. Werde der Sache eine Chance geben.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat