Wie stellt Ihr sicher dass Ransomware Eure Hyperbackups nicht verschuesseln?
- Ersteller framp
- Erstellt am
Hallo framp,
Bücher und Hardware zum Thema gibt es bei Amazon: Wie stellt Ihr sicher dass Ransomware Eure Hyperbackups nicht verschuesseln?
Bücher und Hardware zum Thema gibt es bei Amazon: Wie stellt Ihr sicher dass Ransomware Eure Hyperbackups nicht verschuesseln?
Ich würde gerne das Thema nochmal aufgreifen, da Ransomware unverändert aktuell/brisant ist
@NSFH:
du sagst zwischen Server und Backup-Server soll Netzwerkverbindung mit nicht Routing-fähigen Protokoll bestehen (z.B Hyperbackup)
Geht das anstatt Hyperbackup auch mit ActiveBackupfor Business (ist ja auch ein backup tool mit Versionierung)? Wir haben in unserem Netzwerk die Produktiv-NAS: Hierauf läuft in einer VM der Windows Server 2019. Jede Nacht wird per AB4B ein Backup von dem Windows-Server auf die Backup-NAS gezogen (die sich im selben lokalen Netzwerk befindet). Die Backup-NAS ist auf dem Windows-Server nicht sichtbar...also keine Netzwerkfreigabe oder Netzlaufwerk. Die Verbindung zur Backup-NAS erfolgt über den Synology Active Backup for Business Agent der Verbirndung zur Backup-NAS herstellt (über welches Protokoll weiß ich nicht)
Sollte also jetzt Ransomware den Windows Server verschlüsseln....sind dann die die früheren versionierten Backups auf der Backup-NAS sicher (also unverschlüsselt und wiederherstellbar) ??
@NSFH:
du sagst zwischen Server und Backup-Server soll Netzwerkverbindung mit nicht Routing-fähigen Protokoll bestehen (z.B Hyperbackup)
Geht das anstatt Hyperbackup auch mit ActiveBackupfor Business (ist ja auch ein backup tool mit Versionierung)? Wir haben in unserem Netzwerk die Produktiv-NAS: Hierauf läuft in einer VM der Windows Server 2019. Jede Nacht wird per AB4B ein Backup von dem Windows-Server auf die Backup-NAS gezogen (die sich im selben lokalen Netzwerk befindet). Die Backup-NAS ist auf dem Windows-Server nicht sichtbar...also keine Netzwerkfreigabe oder Netzlaufwerk. Die Verbindung zur Backup-NAS erfolgt über den Synology Active Backup for Business Agent der Verbirndung zur Backup-NAS herstellt (über welches Protokoll weiß ich nicht)
Sollte also jetzt Ransomware den Windows Server verschlüsseln....sind dann die die früheren versionierten Backups auf der Backup-NAS sicher (also unverschlüsselt und wiederherstellbar) ??
- Mitglied seit
- 09. Nov 2016
- Beiträge
- 4.093
- Punkte für Reaktionen
- 570
- Punkte
- 194
Irgendwo wird dein Backup NAS ja im LAN zu finden sein. Wer es also scannt wird es auch finden. Das heisst natürlich nicht, dass es damit gleich gefährdet ist. Schöner wäre es, wenn das Backup NAS in einem anderen Subnet laufen würde oder per VLAN getrennt.
Dann hätte nur die VM eine Verbindung, sonst niemand.
Jetzt kommt die Frage, was tun wenn man das Backup braucht.
1. Habe ich immer ein offenes Backup via USB HDD im LAN mitlaufen, welches nur 4 Wochen speichert. Das hat bisher immer gereicht.
2. Tritt das worst case Schenario ein öffne ich manuell im Backup-NAS einen LAN Port für das Standard LAN.
Ransomware ist ja nicht nur Ransomware sonder nur der letzte Schritt bei einem ungewolltem Zugriff auf dein LAN. Ziel sind ja auch Admin-Passwörter.
Daher ist es optimal, wenn der Backupserver ein reines Pull durchführt, dann muss der Main-Server keine Verbindungsdaten bereit stellen.
Bei Hyperbackup passiert dabei den Backups in der DB nichts. Bis zu dem Zeitpunkt wo alles ok war bleibt es auch so. Ab der Verschlüsselung läuft der Dienst weiter (der merkt nichts von dem Virus), macht dann allerdings Backups von den verschlüsselten Dateien ohne die Vorversionen dabei zu überschreiben.
Du bist also in so einem Scenario absolut safe.
Dann hätte nur die VM eine Verbindung, sonst niemand.
Jetzt kommt die Frage, was tun wenn man das Backup braucht.
1. Habe ich immer ein offenes Backup via USB HDD im LAN mitlaufen, welches nur 4 Wochen speichert. Das hat bisher immer gereicht.
2. Tritt das worst case Schenario ein öffne ich manuell im Backup-NAS einen LAN Port für das Standard LAN.
Ransomware ist ja nicht nur Ransomware sonder nur der letzte Schritt bei einem ungewolltem Zugriff auf dein LAN. Ziel sind ja auch Admin-Passwörter.
Daher ist es optimal, wenn der Backupserver ein reines Pull durchführt, dann muss der Main-Server keine Verbindungsdaten bereit stellen.
Bei Hyperbackup passiert dabei den Backups in der DB nichts. Bis zu dem Zeitpunkt wo alles ok war bleibt es auch so. Ab der Verschlüsselung läuft der Dienst weiter (der merkt nichts von dem Virus), macht dann allerdings Backups von den verschlüsselten Dateien ohne die Vorversionen dabei zu überschreiben.
Du bist also in so einem Scenario absolut safe.
Hyperbackup ist ja eine Backup-Lösung von NAS-Dateien/Ordner oder gesamte NAS woanders hin. Das mach ich ja auch noch (beide NAS - Produktiv-NAS und Backup-NAS - werden mit HB nach extern gesichert).
Mich interessiert jetzt aber Active Backup for Business (Backups von PCs/physischen Server auf die Backup-NAS): Ob die Ransomware diese Backups auf der Backup-NAS findet und Verschlüsseln kann !!?? Wenn ich auf dieser Backup-NAS den Dateidienst SMB deaktiviere (also keine Netzwerkfreigaben oder Netzlaufwerke die auf dem Windows-Server sichtbar wären)...dann hat das Biest doch keinen Zugriff auf das Dateisystem der NAS. Oder nutzt die Ransomware auch das Protokoll des AB4B-Agent (mit dem die Verbindung zum Backup-NAS hergestellt wird) ??
Wie realisiert man, dass die die Backup-NAS in einem anderen Subnet läuft??
Mich interessiert jetzt aber Active Backup for Business (Backups von PCs/physischen Server auf die Backup-NAS): Ob die Ransomware diese Backups auf der Backup-NAS findet und Verschlüsseln kann !!?? Wenn ich auf dieser Backup-NAS den Dateidienst SMB deaktiviere (also keine Netzwerkfreigaben oder Netzlaufwerke die auf dem Windows-Server sichtbar wären)...dann hat das Biest doch keinen Zugriff auf das Dateisystem der NAS. Oder nutzt die Ransomware auch das Protokoll des AB4B-Agent (mit dem die Verbindung zum Backup-NAS hergestellt wird) ??
Wie realisiert man, dass die die Backup-NAS in einem anderen Subnet läuft??
- Mitglied seit
- 09. Nov 2016
- Beiträge
- 4.093
- Punkte für Reaktionen
- 570
- Punkte
- 194
1. Ransomware veschlüsselt alle gemappten Laufwerke, also alles was einen Laufwerksbuchtsbaben hat.
Hast du zB auf einem PC WebDav laufen kann Ransom nicht auf den Server den du per WebDav nutzt zugreifen.
Hast du dagegen dem WebDav Dienst einen Laufwerksbuchstaben gegeben nutzt Ransom auch den!
2. Backupprogramme nutzen andere Ports, die nur während des Backups genutzt werden. Hier ist anfangs Ransom machtlos, egal ob BupfB oder HB.
Der Unterschied zwischen den Beiden: HB speichert versionisiert. Wird also irgendwann eine verschlüsselte HD ins Backup übernommen passiert nichts mit den vorigen Versionen.
Wenn du bei BupfB aber nur die eine Version hast, wird diese beim nächsten Backup überschrieben und damit hast du Pech gehabt.
3. Ransom ist nicht nur Verschlüsselung. Es werden auch Admintools nachgeladen, die Passwörter ausspähen und den direkten Zugriff auf das System ermöglichen. In diesem Moment haben alle Backups Pech, die per Push erreicht werden können. Nur Pull Systeme sind weiterhin mit versionisierten Backups sicher.
Backup in anderem Subnet macht man mit der 2. Nw-Karte in der DS.
Hast du zB auf einem PC WebDav laufen kann Ransom nicht auf den Server den du per WebDav nutzt zugreifen.
Hast du dagegen dem WebDav Dienst einen Laufwerksbuchstaben gegeben nutzt Ransom auch den!
2. Backupprogramme nutzen andere Ports, die nur während des Backups genutzt werden. Hier ist anfangs Ransom machtlos, egal ob BupfB oder HB.
Der Unterschied zwischen den Beiden: HB speichert versionisiert. Wird also irgendwann eine verschlüsselte HD ins Backup übernommen passiert nichts mit den vorigen Versionen.
Wenn du bei BupfB aber nur die eine Version hast, wird diese beim nächsten Backup überschrieben und damit hast du Pech gehabt.
3. Ransom ist nicht nur Verschlüsselung. Es werden auch Admintools nachgeladen, die Passwörter ausspähen und den direkten Zugriff auf das System ermöglichen. In diesem Moment haben alle Backups Pech, die per Push erreicht werden können. Nur Pull Systeme sind weiterhin mit versionisierten Backups sicher.
Backup in anderem Subnet macht man mit der 2. Nw-Karte in der DS.
Ich würde nicht darauf vertrauen, dass Ransomware genauso dumm ist wie eine Vielzahl von Programmen, die mit Laufwerken ohne Laufwerksbuchstaben nichts anfangen können.
Zuletzt bearbeitet:
- Mitglied seit
- 09. Nov 2016
- Beiträge
- 4.093
- Punkte für Reaktionen
- 570
- Punkte
- 194
Das hat mit Dumm nichts zu tun sondern das ist der aktuelle Stand was Ransom von alleine leisten kann.
Kritisch wird es dann, wenn der vorher eingeschleuste Trojaner auch Admin-Spy Software hochgeladen hat und man die Kontrolle über seinen Server verliert.
Mir ist zudem kein Tool bekannt welches Ransom einsetzen kann um sich bei einem Pull Backup einzuklinken.
Man muss sich nur darüber im Klaren sein, dass Pull nichts nützt, wenn dahinter kein versionisiertes Backup steht!
Kritisch wird es dann, wenn der vorher eingeschleuste Trojaner auch Admin-Spy Software hochgeladen hat und man die Kontrolle über seinen Server verliert.
Mir ist zudem kein Tool bekannt welches Ransom einsetzen kann um sich bei einem Pull Backup einzuklinken.
Man muss sich nur darüber im Klaren sein, dass Pull nichts nützt, wenn dahinter kein versionisiertes Backup steht!
Ich hab mir nochmal AB4B angeschaut....das ist doch auch ein versioniertes Backup !!!
Ich hab z.B. von einem Client 23 Versionen ....oder verstehe ich da was falsch ???
Ich hab z.B. von einem Client 23 Versionen ....oder verstehe ich da was falsch ???
Nochmal kurz zum zweiten Subnetz:
Du hängst praktisch die BackupNAS an eine zweite LAN-Schnittstelle der (Quell-)NAS und vergibst hier ein Subnetz (die BackupNAS bekommt feste IP im neuen Subnetz) ? --und erstellst dann eine statische Route vom neuen Subnetz in das (ursprüngliche) erste Netz?
Du hängst praktisch die BackupNAS an eine zweite LAN-Schnittstelle der (Quell-)NAS und vergibst hier ein Subnetz (die BackupNAS bekommt feste IP im neuen Subnetz) ? --und erstellst dann eine statische Route vom neuen Subnetz in das (ursprüngliche) erste Netz?
- Mitglied seit
- 09. Nov 2016
- Beiträge
- 4.093
- Punkte für Reaktionen
- 570
- Punkte
- 194
nein, es gibt bei mir keine Querverbindung! Mein Ziel war es ja für HyperBackup LAN und Quell LAN komplett zu trennen.
Praktisch habe ich das so gelöst, dass der Backupserver zwar ein Standbein im Quell LAN hat aber die Verbindung ist physisch nicht gesteckt. Das ist dann der Notnagel um auf den Backupserver zu kommen.
Bei BupfB kannst du nur das Backup im Quell-LAN laufen lassen und das komplette Backup per Pull in das Backup-LAN kopieren
oder
du bindest das Backupfile von BupfB in die Datensicherung von HB ein.
Schwachpunkt bei HB ist aber immer noch, dass nur Push und nicht Pull geht.
Praktisch habe ich das so gelöst, dass der Backupserver zwar ein Standbein im Quell LAN hat aber die Verbindung ist physisch nicht gesteckt. Das ist dann der Notnagel um auf den Backupserver zu kommen.
Bei BupfB kannst du nur das Backup im Quell-LAN laufen lassen und das komplette Backup per Pull in das Backup-LAN kopieren
oder
du bindest das Backupfile von BupfB in die Datensicherung von HB ein.
Schwachpunkt bei HB ist aber immer noch, dass nur Push und nicht Pull geht.
Entschuldige ich kann dir nicht ganz folgen: Die BackupNAS ist physisch nicht gesteckt? Wenn du also ein Backup machst dann musst du erst das LAN Kabel stecken? Ich dachte das erfolgt bei dir automatisiert...
Und wie bekommst du von einem Subnetz ins andere ein Verbindung ohne Querverbindung (statische Route) ?
Und wie bekommst du von einem Subnetz ins andere ein Verbindung ohne Querverbindung (statische Route) ?
- Mitglied seit
- 09. Nov 2016
- Beiträge
- 4.093
- Punkte für Reaktionen
- 570
- Punkte
- 194
der Bckup hat 2 Nw-Schnittstellen. Eine ist nur für die direkte Verbindung zum LAN Server. Die 2. Schnittstelle ist für das LAN konfiguriert aber nicht gesteckt.
Mit anderen Worten, der Backupserver ist im LAN nicht sichtbar.
Mit anderen Worten, der Backupserver ist im LAN nicht sichtbar.
Ich checks immer noch nicht...korrigier mich wo ich was falsch verstehe:
Also die BackupNAS hat auf Nw-Schnittstelle 1 eine direkte Verbindung zum LAN-Server - dann muss BackupNAS und LAN-Server im gleichen Subnetz liegen....somit ist der Backup-Server im LAN doch sichtbar !!??
Also die BackupNAS hat auf Nw-Schnittstelle 1 eine direkte Verbindung zum LAN-Server - dann muss BackupNAS und LAN-Server im gleichen Subnetz liegen....somit ist der Backup-Server im LAN doch sichtbar !!??
- Mitglied seit
- 09. Nov 2016
- Beiträge
- 4.093
- Punkte für Reaktionen
- 570
- Punkte
- 194
Wenn jede DS 2 Nw-Ports hat kann ein Port im LAN liegen und der andere im Backup-LAN.
LAN DS und Backup DS sind direkt miteinander verbunden und in einem eigenen Subnet.
Auf dem Backup Server ist nur das Backup-Lan gesteckt.
Nur für den Notfall stecke ich dort die Verbindung ins LAN. Diesem LAN Port kannst du auch eine gänzlich andere IP verpassen, musst dann nur den darauf zugreifenden Client entsprechend anpassen. Da gibt es verschiedenste Varinaten wie man das lösen kann, auch mit doppelter IP im Client.
LAN DS und Backup DS sind direkt miteinander verbunden und in einem eigenen Subnet.
Auf dem Backup Server ist nur das Backup-Lan gesteckt.
Nur für den Notfall stecke ich dort die Verbindung ins LAN. Diesem LAN Port kannst du auch eine gänzlich andere IP verpassen, musst dann nur den darauf zugreifenden Client entsprechend anpassen. Da gibt es verschiedenste Varinaten wie man das lösen kann, auch mit doppelter IP im Client.
- Mitglied seit
- 19. Feb 2016
- Beiträge
- 967
- Punkte für Reaktionen
- 102
- Punkte
- 69
Sorry @NSFH , auch nach Deiner letzen Antwort haenge ich immer noch auf dem Schlauch. Ransomeware ist doch nicht auf das Subnetz wo er laeuft fixiert sondern kann auch andere Subnetze angreifen. Was bringt da ein Backup auf einem in einem anderen Subnetz angeschlossenen System?
Es gibt keine Verbindung vom PC zum Netz des 2. NAS. Wir gehen mal davon aus das die Schadsoftware nicht auf dem NAS läuft, sondern am Computer.
- Mitglied seit
- 09. Nov 2016
- Beiträge
- 4.093
- Punkte für Reaktionen
- 570
- Punkte
- 194
Wenn das Backup NAS eine direkte Verbindung zum Server hat aber sonst kein Standbein in einem anderen LAN kommt man nur über den Server zum Backup NAS. Läuft über diese Direktverbindung nur ein Pull Backup ist er nicht angreifbar.
Im übrigen kannst du das LAN Bein des Backup NAS trotzdem in einem anderen Subnet auf den Switch hängen, dann aber mit VLAN abgesichert. Das findet Ransomware nicht.
Im übrigen kannst du das LAN Bein des Backup NAS trotzdem in einem anderen Subnet auf den Switch hängen, dann aber mit VLAN abgesichert. Das findet Ransomware nicht.
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
