Forum: PC-Programmierung Backup Karussel oder NAS Verzeichnis Trojanersicher machen

Von welchem Rechner aus loggst du dich auf dem NAS für Administrative 
Tätigkeiten ein? Sind NAS und Rechner mit räumlichem Abstand versehen?

Mucky F. schrieb:
> Sagt mal, wie nennt man folgendes Sicherungskonzept?

Schwachsinn. Das ist völlig ineffizient und dazu kein vollwertiges 
offline Backup. Kommt nun auf dein Thread model an. Aber die Gruppe 
hinter emotet war schon verdammt gut und hätte dir dein Konzept 
möglicherweise zerstört.

Ein Backup Server gehört auch netzwerkseitig ordentlich geschützt. Also 
für die zu sichernden System per Firewall nur minimaler Zugriff oder 
umgekehrt. Also der Backupserver holt sich die Daten.

Hans schrieb:
> Von welchem Rechner aus loggst du dich auf dem NAS für Administrative
> Tätigkeiten ein? Sind NAS und Rechner mit räumlichem Abstand versehen?

Also das ein steht in einem Jugendzentrum auf dem Tresen vom Café, das 
zweite auf der Rückseite des Mondes hinter 20cm Panzerstahl und das 
dritte nimmt Kpt. Nemo jeden Abend mit auf Tauchfahrt.

Hoffe die Frage ist damit beantwortet. Aber was hat das jetzt mit dem 
Thema zu tun?

>
> Mucky F. schrieb:
>> Sagt mal, wie nennt man folgendes Sicherungskonzept?
>
> Schwachsinn. Das ist völlig ineffizient und dazu kein vollwertiges
> offline Backup. Kommt nun auf dein Thread model an. Aber die Gruppe
> hinter emotet war schon verdammt gut und hätte dir dein Konzept
> möglicherweise zerstört.

Da hab ich das evtl. falsch beschrieben. Es geht mir nicht um das 
effizienteste Backupkonzept hinter 3 Firewalls mit replizerbaren 
mehrfach virtualisierten Backup-Servern sondern um einen PC und ein NAS.

Also weniger Backup, mehr Anti-Trojaner Maßnahme.

>
> Ein Backup Server gehört auch netzwerkseitig ordentlich geschützt. Also
> für die zu sichernden System per Firewall nur minimaler Zugriff oder
> umgekehrt. Also der Backupserver holt sich die Daten.

Leider gibt es keinen Backupserver. Die Frage ist einige wertvolle Daten 
gegen evtl. Angreifer möglichst "effizient" zu schützen. Das soll so 
früh wie möglich geschehen, bei diesem Konzept halt wenn Sie im NAS 
eintreffen.

Wenn du die Daten sicher gegen Verschlüsseln sichern möchtes würde ich 
zwei USB-Disks empfehlen. Und dann richtest du einen Backup-Job ein, der 
das NAS auf die USB Platte sichert wenn sie angeschlossen wird. Dann 
hängt eine Paltte am NAS und die andere liegt irgendwo anders. 
Vielleicht sogar bei dir zu hause. Dann wäre dein Backup offline und 
offsite. Je nachdem wie viele Daten erstellt werden kannst du die Disk 
täglich, wöchentlich oder irgendwas anderes tauschen. Kommt auch darauf 
an wie viele Daten du verlieren kannst ohne das es weh tut.
Alles was per Netzwerk verbunden ist gefährdet. Auch ein NAS kann 
Sicherheitslücken haben.

schau dir mal restric an, die wissen ganz gut wie mans macht...

https://restic.net/

ich bin durch chaosradio drauf gekommen:

https://chaosradio.de/cr270-daten-archivieren-wiederherstellen-und-loeschen

Mucky F. schrieb:
> Hans schrieb:
>> Von welchem Rechner aus loggst du dich auf dem NAS für Administrative
>> Tätigkeiten ein? Sind NAS und Rechner mit räumlichem Abstand versehen?
>
> Also das ein steht in einem Jugendzentrum auf dem Tresen vom Café, das
> zweite auf der Rückseite des Mondes hinter 20cm Panzerstahl und das
> dritte nimmt Kpt. Nemo jeden Abend mit auf Tauchfahrt.
>
> Hoffe die Frage ist damit beantwortet.

Nein, folgende Frage ist nicht beantwortet:
>> Von welchem Rechner aus loggst du dich auf dem NAS für Administrative
>> Tätigkeiten ein?

Vielleicht kein automatisches Szenario. Aber sobald sich jemand manuell 
auf deinem Rechner umsieht, könnte er Browsersessions zum Admininterface 
finden. Das Problem ist offensichtlich.

> Aber was hat das jetzt mit dem Thema zu tun?

Eine ganze Menge. Ist ja schön und gut, wenn du dich gegen einen 
Kryptotrojaner schützt, aber beim nächsten Hochwasser, Sturm oder Feuer 
trotzdem deine Daten verlierst.

Mucky F. schrieb:
> Da hab ich das evtl. falsch beschrieben. Es geht mir nicht um das
> effizienteste Backupkonzept hinter 3 Firewalls mit replizerbaren
> mehrfach virtualisierten Backup-Servern sondern um einen PC und ein NAS.
>
> Also weniger Backup, mehr Anti-Trojaner Maßnahme.

Je effizienter du deine Backups speicherst, umso mehr Backups kannst du 
speichern. Umso größer wird deine Chance zurück zukommen, falls deine 
Daten längere Zeit unbemerkt verändert wurden. Ich habe gesagt stell 
eine Firewall davor. Ansonsten kannst du Angriffsfläche wie Webinterface 
oder Multimediaservice des NAS nicht gegenüber dem Kryptotrojaner 
absichern. Vergrößerst also die Gefahr, dass du eben überhaupt keine 
Anti-Trojaner Maßnahme hast. Der beste Schutz vor Trojanern ist immer 
noch das offline Backup.

Mach einfach offline Backups auf drei bis vier verschlüsselte(!) USB 
Platten und lager die an einem anderen Ort. Das erfüllt die 
Anforderungen an ein Backup und deine Anforderungen an 
Trojanersicherheit eher.

Mucky F. schrieb:
> Auf das NAS springen
> geht auch schlecht wg. anderer Hardware, OS, Prozessor usw.

Das ist eine teure Fehlnahmen, wenn du dir mal ansiehst wie moderne 
Malware Kampagnen laufen, wirst du feststellen dass, sie nach dem 
Eindringen in dein Netzwerk, das Netzwerk Scannen und dann einfach ein 
passendes Exploit für die NAS nachladen. Die NAS ist zwar meisten eine 
Linux/Unix basiertes System, aber auch die sind nicht per se 
unangreifbar.
Meistens ist es sogar so, dass der Eigentümer der NAS bewusst keine 
Patchs einspielt, weil er seine Daten nicht gefährden will und dass 
viele Hersteller die Security nicht als wichtig betrachten und daher 
selbst nur alle jubel Jahre neue Firmware für Bereitstellen.

Sich darauf zu verlassen, dass die Malware nicht auf die NAS kommt, da 
es eine andere Architektur ist, ist falsch. Was du Tun kannst, um dich 
gegen Ransomware etwas zu sichern, sind Offline Backups, welche du 
regelmäßig auf Konsistenz prüfst (am besten in einer geschützten, 
Netzwerk isolierten Umgebung).