Wie stellt Ihr sicher dass Ransomware Eure Hyperbackups nicht verschuesseln?

[blurrrr]

Das ist doch ganz einfach, da muss man ggf. einfach nur mal einen "Richtungswechsel" in Betracht ziehen...

Quelle --push--> 1. Ziel <--pull-- 2. Ziel

Um das mal recht einfach darzustellen... Kriegt die Quelle was ab, kann - thoeretisch - auch alles weiter zum 1. Ziel (Zugriffsberechtigungen und so...), das 1. Ziel hat aber keinerlei Berechtigungen auf das 2. Ziel, das 2. Ziel aber eben beim 1. Ziel und "holt" die Daten dann einfach von dort. Somit ist es auch nicht möglich von 1 zu 2 zu springen, Ende der Durchsage

 

[KAGSH]

Hallo,

nachdem ich den Thread bis hierher gelesen habe und noch keinen derartigen Hinweis bermerkt habe: bietet nicht auch die Statistikwarnungen von Hyper Backup einen Schutz? Man kann ja Schwellwerte definieren, dass man bspw. per email informiert wird, wenn am Datenbestand mehr als 10% verändert wurden seite dem letzten Backup. Sollte eine Ransomware also eine Datenquelle und das Backup auf einer externen Festplatte 1 verschlüsseln, würde man aufgrund der Veränderung informiert, und würde weitere, andere Backupmedien gar nicht erst wieder anschließen.

(Falls das in die falsche Richtung gedacht ist, bin ich für entsprechende Hinweise empfänglich).

 

[RichardB]

Helfen tut hier nur eine langfristige Datensicherung in einer DB.

Und ab wievielen Versionen würdest Du ein DB-Backup als langfristig ansehen?

 

[blurrrr]

https://de.wikipedia.org/wiki/Generationenprinzip

 

[NSFH]

Ich habe immer mindestens 1 Jahr als Backup in allen Installationen. Die letzten 2-3 Wochen komplett, danach werden die Abstände zwischen den aufbewahrten Datensicherungen immer grösser.
Dieses Prinzip der intelligenten Datensicherung bietet Hyperbackup an und finde ich sehr brauchbar.

@KAGSH: Keine schlechte Idee, nur bringt sie nichts. Schliesst du deine Backup-HD per eSATA oder USB an wird diese verschlüsselt. Das wars dann schon ohne das Hyperbackup ein Byte übertragen hat.
Es gibt nur diesen einen funktionierenden Schutz: Ein nichtroutingfähiges Protokoll welches die Verbindung zwischen Datei- und Backupserver herstellt.

Mal eben eine einfache Rechnung:
Eine Festplatte mit 10TB kostet ca. 260€
Ein USB-Gahäuse 20€
Macht mindestens 280€ je rotierendem USB-Backupgerät.
Für zwei Stück muss ich also 560€ berappen.

Eine kleine Syno gibts ab 100€ plus 10TB HD = 380€ für ein vollständiges, dann sicheres Backupsystem.
Will ich dann noch eine externe Datensicherung dann mit einer USB-HD am Backupsystem, denn das ist immer clean!

 

[RichardB]

Na dann sind wir uns ja fast einig. Meine Sicherungsdichte (sofern Du mit komplett täglich meinst) liegt bei mir mit einem Monat (wobei ein Monat bei mir 30 Tage bedeutet) etwas höher. Und danach werden die Abstände auch größer (wobei ich nicht weiß, wie groß sie bei Dir werden, was aber nebensächlich ist).
Worin ich Dir uneingeschränkt zustimme, ist, dass Hyper Backup für dieses Szenario eine sehr anwenderfreundliche Lösung ist (sofern man die Zähllogik von HB durchschaut hat).

Was Deine einfache Rechnung betrifft: Ich hatte nie von Festplatten + Gehäuse usw. gesprochen.

Meine Kleine Syno (siehe Signatur) liegt mit € 468.90 etwas über Deinem angegebenen Betrag (gut ich habe da ein wenig in die Zukunft investiert). Beim Preis für die HDD bin ich mir nicht sicher von welchem Modell/Hersteller wir reden. Die bei mir verbauten 12TB Seagate Exos X14 12TB haben 365,55 pro Stück gekostet (ich gebe zu, es sind nur Seagates).

Laut Deinem Post ein sicheres System. Und wenn an diesem System noch zwei (jede Exos ist ein Volume) 3er-Sets mit USB-Platten laufen, ist das ein "immer cleanes System“, wie Du schreibst.

Was mich zu meiner ursprünglichen Frage bezüglich Deiner Behauptung aus #8 zurückführt: Was ist fragwürdig an einer Nutzung von USB-Festplatten in einem 3er-Set hinsichtlich der 3-2-1 Strategie?

 

[blurrrr]

Also wenn wir schon soweit sind, sollte man mal das Thema der Bänder in den Raum werfen, da Festplatten auch gern mal kaputt gehen. USB-HDDs eignen sich daher auch weniger zur Offline-Langzeitarchivierung/-sicherung. Kommt nicht selten vor, dass irgendwann eine HDD aus einem Bankschließfach dringend benötigt wird und dann nicht funktioniert... aber... lasst euch nicht stören

 

[NSFH]

Jetzt erstaunst du mich aber! Ich bin dem Erfinder der HD unendlich dankbar, dass ich keine Bänder oder Bandroboter mehr verwenden muss.
Zugriffszeiten unterirdisch, ständig muss man Tests machen, ob das Band überhaupt noch ok ist, teuer sind die Dinger auch, ne Danke, zum Glück nie mehr wieder.

@RichardB: Warum ich von USB nichts halte habe ich schon mehrfach geschrieben: Sobald du per USB oder SATA eine Verbindung herrstellst kann Ransomware auf das vollständige Laufwerk zugreifen. Anschliessen reicht! Brauchst du dann noch einige Minuten bis du den Backipjob startest ist alles zu spät und selbst wenn der Job läuft greift das Dateisystem ungeniert im Hintergrund auf alles zu und verschlüsselt.
Unter Umständen bekommst du davon gar nichts mit und steckst morgen die nächste HD an.

 

[KAGSH]

Ich schalte mich hier auch noch mal kurz ein.

@ NSFH: Deinen vorigen Hinweis @ #25 hatte ich so tatsächlich nicht auf dem Schirm. Wenn das Verschlüsseln des Backups dadurch erfolgt, dass die Ransomware direkt auf das Backup zugreift und dieses verschlüsselt, ist mit der Statistikwarnung in diesem Moment nichts gewonnen, weil noch gar kein Alarm ausgelöst wird, das stimmt.

Eine weitere Ebene könnte ja sein, das Backup in der zeitlichen Tiefe weiter zu staffeln in der Art, dass man wechselnde Medien hat die mit unterschiedlichem großem Intervall angeschlossen werden. Und natürlich das regelmäßige Testweise Wiederherstellen von Dateien aus dem Backup, was man ja eigentlich ohnehin tun sollte.

Dass das Anschließen per USB in diesem Kontext aber eine strukturelle Schwachstelle darstellen könnte, ist einzusehen.

 

[mb01]

Anfällig werden doch USB-Festplatten an der Synology erst richtig, wenn die Synology selbst infiziert wurde (oder der Zugriff falsch konfiguriert wurde). Oder genauer gesagt: "Anfälliger" als ein übers Netzwerk angesprochenes Sicherungsziel. Wenn das NAS möglichst abgeschottet nach außen ist und die PCs nicht gerade alle per Admin-User zugreifen, sollte das Risiko da eigentlich relativ gering sein, dass sich die Syno etwas einfängt ... auch wenn man natürlich nie weiß, was für Bugs da noch in DSM schlummern.

Der Normalfall wird wohl eher sein, dass ein Verschlüsselungstrojaner einen PC infiziert und dann freigegebene Netzlaufwerke auf dem NAS verschlüsselt. Wenn dann - bevor der User es merkt - auf dem NAS das nächste Backup dieses Netzlaufwerks auf Medium X durchgeführt wird, dann hat man natürlich ohne Versionierung schlechte Karten, egal ob USB oder rSync. Auch nicht selten wird wohl der worst case vorhanden sein, nämlich dass der Synology-Benutzer, den der PC verwendet, auch Zugriff auf Backup-Laufwerke hat. Ich denke so mancher User wird seinen Admin-Account für wirklich alles verwenden.

Gelegentlich manuelle Backups auf wechselnde Offline/Offsite-USB-Platten, regelmäßig automatisch je nach Daten versioniert per Hypersync auf eine andere Syno bzw. versioniert auf ein USB-Laufwerk, spezielle Benutzer für Backup-Aufgaben, entsprechend eingeschränkte Benutzer für den Zugriff aufs NAS .... plus noch btrfs-Volumes mit aktiviertem Snapshots: Mir persönlich reicht das völlig aus.

 

[tproko]

Ja, sehe ich auch so, dass Linux hier wohl besser aufgestellt ist als Windows. Aber ganz ausschließen kann man das leider trotzdem nie.

 

[blurrrr]

Jetzt erstaunst du mich aber!

Immer für eine Überraschung gut

(Optische Disks und Magnetbänder sind eben die low-cost-Medien, wenn es um inaktive Langzeitarchivierung/-sicherung geht, zumal diese auch weniger schnell kaputtt gehen als die HDDs, aber das nur am Rande)

Warum ich von USB nichts halte habe ich schon mehrfach geschrieben

Ich sag mal so: Kann man machen, darf man sich in SO einem Fall aber auch nicht drauf verlassen (eine versehentlich gelöschte Datei wiederherstellen, dafür ist sowas gut, für nichts anderes...), ansonsten hatte ich das Prinzip ja glaube ich auch schon erwähnt - Problematisch ist halt instant "alles", wo die Quelle aus eigenen Stück dran kommt / hin kann (somit auch eine USB-HDD oder auch ein sonstiges Share). Das Backupziel bzw. der Aufbewahrungsort sollte sich somit also dem möglichen Zugriff der Quelle entziehen. Sei es a) man "holt" das Backup" (Syno als Client) oder b) das Backupziel wird nochmals gesondert gesichert (wieder Client).

 

[NSFH]

Das USB-Backup macht man am Backup-Server. Für die ganz Schizophrenen kann man dann mit einem rotierenden USB-Backup arbeiten und dieses ausser Haus bunkern ;-)
Hat man nicht diese Datenmengen würde ich immer C2 vorziehen und Ruhe ist. Dann brauche ich auch kein USB-Backup, da ich von überall auf die Datensicherung zugreifen kann.

 

[nas_stephan]

Moin,

mal eine oder 2 Fragen als 0815 Anwender (keine 3 NAS, keine 3x30 HDDs für 3 Monate tägliches Backup etc.):
- wenn ich mit einem PC arbeite, der auf freigegebene Daten auf dem NAS zugreift (was ja idR lesen+schreiben ist), wie will ich da denn eine Infektion des NAS verhindern?
- wenn ich auf dem PC Ransomware habe, und nun meine backup USB Platte anstecke, der PC Nutzer aber gar keine Rechte hat, auf USB zuzugreifen, sondern nur ein spezieller Backup Nutzer, sollten doch die Daten auf der Platte (so schon welche drauf sind) sicher sein, oder?
- mir stellt sich dann eher die Frage, wie ich verhindere, dass verschlüsselte Daten vom NAS ins backup fließen, und ob ich mit Versionierung dann aus der Nummer raus komme wenn das passiert

 

[tproko]

Was meinst du mit Infektion des NAS?

Die Daten werden dort verschlüsselt werden - ja. Problematisch genug.
Das NAS selber wird die windows Ransomware nicht einfach installieren. Also infiziert bleibt meistens der PC, Linux idR nicht. Vor allem hoffentlich nie durch ein samba Share oder ftp.

 

[nas_stephan]

Ich meinte ein Verschlüsselung der Daten auf dem NAS - sorry, mißverständlich. Die Fragen ändern sich dadurch nicht.

 

[NSFH]

Wenn ich mir die aktuelle Scenerie bei CITRIX anschaue sind Server auch betroffen, auch auf Linux Basis.
Wer am PC arbeitet und per Samba oder sonstiger Freigabe auf Serverdateien zugreift öffnet automatisch die Tür für Ransomware.
Ransomware scannt auch den kompletten IP Bereich des aktuellen LANs und findet dort jede Freiga´be, auch wenn sie aktuell nicht gemountet ist!
Wer Hyperbackup mit Versionisierung nutzt ist im ersten Schrittt fein raus, da dann eben ab dem Befall verschlüsselte Dateien gesichert werden. Das hat keine Auswirkungen auf die vorherigen Versionen.
Kommt noch Schritt 2: Wie ist das Backup-Medium mit Server verbunden. Per Netzlaufwerk oder USB, dann wird die Datenbank von Hyperbackup verschlüsselt und hat gar nichts mehr.
Ich glaube ich habe es schon 10x geschrieben und tue es ein letztes mal: Nur wenn man mit dem Hyperbackupprotokoll oder RSYNC eine Verbindung zu einem Medium herstellen kann ist es vor Ransomware geschützt und das geht halt nur mit einem 2.Mini-Server.

 

[nas_stephan]

Und wie kann ich dann am PC arbeiten ohne das Scheunentor aufzumachen?

Und gehst du davon aus, daß auch NAS infiziert werden kann über den PC?

Und zu deinem letzten Satz - das geht dann nur mit einem 2. NAS? (ich will ja nun nicht x TB über den usb2 am raspi sichern...)

 

[NSFH]

Zur Frage 1: Gar nicht, es gibt da keine Lösung
Zur Frage 2: Definitiv JA
Zur Frage 3: Nur mit einem nicht routingfähigem Protokoll besteht Schutz. Netzwerkanbindung einer Festplatte mit RSYNC oder Hyperbackfunktionalität ist die Lösung.
Eine kleine Syno kostet 100€, gebraucht kommt man noch billiger weg. Datensicherheit ist halt nicht umsonst.
Alternativ C2, reicht mir für meine eigenen wichtigen Daten in der kleinsten Version locker aus oder halt ein anderer Clouddienst der mindestens RSYNC kann.

 

[framp]

...Eine kleine Syno kostet 100€, gebraucht kommt man noch billiger weg...

Noch billiger kommt man weg wenn - sofern man sie schon besitzt - eine Raspberry nimmt und darauf einen rsync Server installiert