Wie stellt Ihr sicher dass Ransomware Eure Hyperbackups nicht verschuesseln?

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
Wenn Übertragungsfehler via Internet dann mit gleichzeitigem Abbruch der Datensicherung aber niemals Fehler durch die Übertragung selbst, quasi verdeckte Fehler.
 

kev.lin

Benutzer
Mitglied seit
17. Jul 2007
Beiträge
624
Punkte für Reaktionen
42
Punkte
48

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
hast du schon mal HB benutzt? Liest sich irgendwie nicht so, denn wenn man einen Sicherungsjob erstellt muss man den Zielort angeben.
 

fishrain66

Benutzer
Mitglied seit
23. Nov 2018
Beiträge
153
Punkte für Reaktionen
25
Punkte
28
Ich würde gerne das Thema nochmal aufgreifen, da Ransomware unverändert aktuell/brisant ist

@NSFH:

du sagst zwischen Server und Backup-Server soll Netzwerkverbindung mit nicht Routing-fähigen Protokoll bestehen (z.B Hyperbackup)

Geht das anstatt Hyperbackup auch mit ActiveBackupfor Business (ist ja auch ein backup tool mit Versionierung)? Wir haben in unserem Netzwerk die Produktiv-NAS: Hierauf läuft in einer VM der Windows Server 2019. Jede Nacht wird per AB4B ein Backup von dem Windows-Server auf die Backup-NAS gezogen (die sich im selben lokalen Netzwerk befindet). Die Backup-NAS ist auf dem Windows-Server nicht sichtbar...also keine Netzwerkfreigabe oder Netzlaufwerk. Die Verbindung zur Backup-NAS erfolgt über den Synology Active Backup for Business Agent der Verbirndung zur Backup-NAS herstellt (über welches Protokoll weiß ich nicht)

Sollte also jetzt Ransomware den Windows Server verschlüsseln....sind dann die die früheren versionierten Backups auf der Backup-NAS sicher (also unverschlüsselt und wiederherstellbar) ??
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
Irgendwo wird dein Backup NAS ja im LAN zu finden sein. Wer es also scannt wird es auch finden. Das heisst natürlich nicht, dass es damit gleich gefährdet ist. Schöner wäre es, wenn das Backup NAS in einem anderen Subnet laufen würde oder per VLAN getrennt.
Dann hätte nur die VM eine Verbindung, sonst niemand.
Jetzt kommt die Frage, was tun wenn man das Backup braucht.
1. Habe ich immer ein offenes Backup via USB HDD im LAN mitlaufen, welches nur 4 Wochen speichert. Das hat bisher immer gereicht.
2. Tritt das worst case Schenario ein öffne ich manuell im Backup-NAS einen LAN Port für das Standard LAN.

Ransomware ist ja nicht nur Ransomware sonder nur der letzte Schritt bei einem ungewolltem Zugriff auf dein LAN. Ziel sind ja auch Admin-Passwörter.
Daher ist es optimal, wenn der Backupserver ein reines Pull durchführt, dann muss der Main-Server keine Verbindungsdaten bereit stellen.
Bei Hyperbackup passiert dabei den Backups in der DB nichts. Bis zu dem Zeitpunkt wo alles ok war bleibt es auch so. Ab der Verschlüsselung läuft der Dienst weiter (der merkt nichts von dem Virus), macht dann allerdings Backups von den verschlüsselten Dateien ohne die Vorversionen dabei zu überschreiben.
Du bist also in so einem Scenario absolut safe.
 

fishrain66

Benutzer
Mitglied seit
23. Nov 2018
Beiträge
153
Punkte für Reaktionen
25
Punkte
28
Hyperbackup ist ja eine Backup-Lösung von NAS-Dateien/Ordner oder gesamte NAS woanders hin. Das mach ich ja auch noch (beide NAS - Produktiv-NAS und Backup-NAS - werden mit HB nach extern gesichert).

Mich interessiert jetzt aber Active Backup for Business (Backups von PCs/physischen Server auf die Backup-NAS): Ob die Ransomware diese Backups auf der Backup-NAS findet und Verschlüsseln kann !!?? Wenn ich auf dieser Backup-NAS den Dateidienst SMB deaktiviere (also keine Netzwerkfreigaben oder Netzlaufwerke die auf dem Windows-Server sichtbar wären)...dann hat das Biest doch keinen Zugriff auf das Dateisystem der NAS. Oder nutzt die Ransomware auch das Protokoll des AB4B-Agent (mit dem die Verbindung zum Backup-NAS hergestellt wird) ??

Wie realisiert man, dass die die Backup-NAS in einem anderen Subnet läuft??
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
1. Ransomware veschlüsselt alle gemappten Laufwerke, also alles was einen Laufwerksbuchtsbaben hat.
Hast du zB auf einem PC WebDav laufen kann Ransom nicht auf den Server den du per WebDav nutzt zugreifen.
Hast du dagegen dem WebDav Dienst einen Laufwerksbuchstaben gegeben nutzt Ransom auch den!
2. Backupprogramme nutzen andere Ports, die nur während des Backups genutzt werden. Hier ist anfangs Ransom machtlos, egal ob BupfB oder HB.
Der Unterschied zwischen den Beiden: HB speichert versionisiert. Wird also irgendwann eine verschlüsselte HD ins Backup übernommen passiert nichts mit den vorigen Versionen.
Wenn du bei BupfB aber nur die eine Version hast, wird diese beim nächsten Backup überschrieben und damit hast du Pech gehabt.
3. Ransom ist nicht nur Verschlüsselung. Es werden auch Admintools nachgeladen, die Passwörter ausspähen und den direkten Zugriff auf das System ermöglichen. In diesem Moment haben alle Backups Pech, die per Push erreicht werden können. Nur Pull Systeme sind weiterhin mit versionisierten Backups sicher.

Backup in anderem Subnet macht man mit der 2. Nw-Karte in der DS.
 

synfor

Benutzer
Sehr erfahren
Mitglied seit
22. Dez 2017
Beiträge
9.167
Punkte für Reaktionen
1.652
Punkte
308
1. Ransomware veschlüsselt alle gemappten Laufwerke, also alles was einen Laufwerksbuchtsbaben hat.
Hast du zB auf einem PC WebDav laufen kann Ransom nicht auf den Server den du per WebDav nutzt zugreifen.
Hast du dagegen dem WebDav Dienst einen Laufwerksbuchstaben gegeben nutzt Ransom auch den!
Ich würde nicht darauf vertrauen, dass Ransomware genauso dumm ist wie eine Vielzahl von Programmen, die mit Laufwerken ohne Laufwerksbuchstaben nichts anfangen können.
 
Zuletzt bearbeitet:

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
Das hat mit Dumm nichts zu tun sondern das ist der aktuelle Stand was Ransom von alleine leisten kann.
Kritisch wird es dann, wenn der vorher eingeschleuste Trojaner auch Admin-Spy Software hochgeladen hat und man die Kontrolle über seinen Server verliert.
Mir ist zudem kein Tool bekannt welches Ransom einsetzen kann um sich bei einem Pull Backup einzuklinken.
Man muss sich nur darüber im Klaren sein, dass Pull nichts nützt, wenn dahinter kein versionisiertes Backup steht!
 
  • Like
Reaktionen: Schwarte und Rene1

fishrain66

Benutzer
Mitglied seit
23. Nov 2018
Beiträge
153
Punkte für Reaktionen
25
Punkte
28
Ich hab mir nochmal AB4B angeschaut....das ist doch auch ein versioniertes Backup !!!

Ich hab z.B. von einem Client 23 Versionen ....oder verstehe ich da was falsch ???
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
Ich habe nur versucht programmunabhängig möglichst neutral auszudrücken: versionisiertes Pushbackup = gut, Pullbackup=sehr gut, nicht versionisiert = schlecht/nicht tauglich.
 

fishrain66

Benutzer
Mitglied seit
23. Nov 2018
Beiträge
153
Punkte für Reaktionen
25
Punkte
28
Nochmal kurz zum zweiten Subnetz:

Du hängst praktisch die BackupNAS an eine zweite LAN-Schnittstelle der (Quell-)NAS und vergibst hier ein Subnetz (die BackupNAS bekommt feste IP im neuen Subnetz) ? --und erstellst dann eine statische Route vom neuen Subnetz in das (ursprüngliche) erste Netz?
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
nein, es gibt bei mir keine Querverbindung! Mein Ziel war es ja für HyperBackup LAN und Quell LAN komplett zu trennen.
Praktisch habe ich das so gelöst, dass der Backupserver zwar ein Standbein im Quell LAN hat aber die Verbindung ist physisch nicht gesteckt. Das ist dann der Notnagel um auf den Backupserver zu kommen.
Bei BupfB kannst du nur das Backup im Quell-LAN laufen lassen und das komplette Backup per Pull in das Backup-LAN kopieren
oder
du bindest das Backupfile von BupfB in die Datensicherung von HB ein.
Schwachpunkt bei HB ist aber immer noch, dass nur Push und nicht Pull geht.
 

fishrain66

Benutzer
Mitglied seit
23. Nov 2018
Beiträge
153
Punkte für Reaktionen
25
Punkte
28
Entschuldige ich kann dir nicht ganz folgen: Die BackupNAS ist physisch nicht gesteckt? Wenn du also ein Backup machst dann musst du erst das LAN Kabel stecken? Ich dachte das erfolgt bei dir automatisiert...

Und wie bekommst du von einem Subnetz ins andere ein Verbindung ohne Querverbindung (statische Route) ?
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
der Bckup hat 2 Nw-Schnittstellen. Eine ist nur für die direkte Verbindung zum LAN Server. Die 2. Schnittstelle ist für das LAN konfiguriert aber nicht gesteckt.
Mit anderen Worten, der Backupserver ist im LAN nicht sichtbar.
 

fishrain66

Benutzer
Mitglied seit
23. Nov 2018
Beiträge
153
Punkte für Reaktionen
25
Punkte
28
Ich checks immer noch nicht...korrigier mich wo ich was falsch verstehe:

Also die BackupNAS hat auf Nw-Schnittstelle 1 eine direkte Verbindung zum LAN-Server - dann muss BackupNAS und LAN-Server im gleichen Subnetz liegen....somit ist der Backup-Server im LAN doch sichtbar !!??
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
Wenn jede DS 2 Nw-Ports hat kann ein Port im LAN liegen und der andere im Backup-LAN.
LAN DS und Backup DS sind direkt miteinander verbunden und in einem eigenen Subnet.
Auf dem Backup Server ist nur das Backup-Lan gesteckt.
Nur für den Notfall stecke ich dort die Verbindung ins LAN. Diesem LAN Port kannst du auch eine gänzlich andere IP verpassen, musst dann nur den darauf zugreifenden Client entsprechend anpassen. Da gibt es verschiedenste Varinaten wie man das lösen kann, auch mit doppelter IP im Client.
 

framp

Benutzer
Mitglied seit
19. Feb 2016
Beiträge
1.005
Punkte für Reaktionen
129
Punkte
89
Ich checks immer noch nicht...
Sorry @NSFH , auch nach Deiner letzen Antwort haenge ich immer noch auf dem Schlauch. Ransomeware ist doch nicht auf das Subnetz wo er laeuft fixiert sondern kann auch andere Subnetze angreifen. Was bringt da ein Backup auf einem in einem anderen Subnetz angeschlossenen System?
 

Georgius

Benutzer
Mitglied seit
10. Apr 2021
Beiträge
231
Punkte für Reaktionen
10
Punkte
18
Es gibt keine Verbindung vom PC zum Netz des 2. NAS. Wir gehen mal davon aus das die Schadsoftware nicht auf dem NAS läuft, sondern am Computer.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
Wenn das Backup NAS eine direkte Verbindung zum Server hat aber sonst kein Standbein in einem anderen LAN kommt man nur über den Server zum Backup NAS. Läuft über diese Direktverbindung nur ein Pull Backup ist er nicht angreifbar.
Im übrigen kannst du das LAN Bein des Backup NAS trotzdem in einem anderen Subnet auf den Switch hängen, dann aber mit VLAN abgesichert. Das findet Ransomware nicht.
 
  • Like
Reaktionen: framp


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat