Fragen zu NAS & Ransomware & Backups

FranzvonAssisi

Admiral
Registriert
Dez. 2013
Beiträge
7.454
Hey,

es steht bei uns die Anschaffung eines NAS als zentraler Backupspeicher und "Familienspeicher" für Bilder, Musik etc. aus.

Von der Frage welches NAS es wird Mal abgesehen, interessiert mich, inwiefern aktuelle NAS gegen Ransomware abgesichert sind. Soweit ich weiß hab es Randomware, die auch Netzwerkspeicher befallen hat.
Den Netzwerkspeicher "auszuwerfen" ist dank DAUs in der Familie keine wirkliche Option :D

Also: Wie kann man NAS gegen Ransomware absichern?
Die einfachste Möglichkeit ist ja einfach ein Passwort für den Zugriff zu setzen...

Und:
Wie erstelle ich effizient ein Backup eines NAS. Bei 2x 4Tb bin ich ja immerhin schon bei 8Tb, die ich noch absichern muss.
Einfach entsprechende USB-Festplatten anschließen? In welchem Intervall macht ihr ein Backup?

Lg und vielen Dank :)
 
Gegen Hardwareschäden (defekte Festplatte) hilft RAID (bei Dir wären es dann 3x 4 TB, 8 TB zur Nutzung), gegen Software (versehentliches Löschen, Ransomware...) aber nur ein Backup, welches auch nur in der Zeit angeschossen wird.
Oder Du machst einen zweiten Benutzer im NAS, der auch Zugriff auf die Backups hat und nutzt ihn nur dafür.

Um ein Backup handelt es sich natürlich nur dann, wenn die Daten auf zwei getrennten Speichermedien (z.B. interne Festplatte vom PC und NAS) vorhanden sind.
 
Ja, RAID kenne ich, aber um Hardwareschäden mache ich mir weniger Sorgen. Außerdem macht RAUD 5 ja keinen Sinn bei 2 Einschüben, worauf es wahrscheinlich hinausläuft.

Konkret meinte ich: Kann ich bei aktuellen NAS USB-Festplatten anschließen und darauf ein Backup machen?
Bei Synology habe ich z.B. erstmal nur davon gelesen, dass man Dateien vom USB-Speicher kopieren kann.
 
Konkret meinte ich: Kann ich bei aktuellen NAS USB-Festplatten anschließen und darauf ein Backup machen?
Ja, das geht natürlich. Läuft bei Synology idealerweise über die App "HyperBackup".

Es empfehlen sich aber mind. 2 HDDs, die du immer im Wechsel anschließt, so dass eine HDD immer offline an einem sicheren Ort liegt.
Das ist auch der beste Schutz gegen einen Kryptotrojaner. Software bleibt Software (inklusive Bugs) & Anwender bleiben Anwender (inkl. dem Talent Sachen fehlzukonfigurieren), daher ist eine abgetrennte Sicherung imho zwingend.
 
  • Gefällt mir
Reaktionen: FranzvonAssisi
Danke, bin mir nicht sicher, wieso ich die Seite nicht mit Googlen gesehen habe, aber sowas hatte ich mir vorgestellt, also das der NAS ne eigene, private Partition / Bereich hat, auf der Sicherungen abgelegt werden.

Das klingt schonmal nicht schlecht :)
 
Bei uns hat jeder Nutzer einen eigenen Account für den Zugriff auf das NAS. Es gibt gemeinsame Bereiche für alle und dann separate Bereiche für die Nutzer. Verbaut sind momentan 2 x 2TB (RAID1) im Zyxel NAS542. Zum Backup wird spätestens alle 3 Monate eine externe HDD über USB angeschlossen (je nachdem wieviel und was in 1 Monat dazukam). Ist aus meiner Sicht auch erstmal ausreichend.
 
Shadowlike schrieb:
Bei uns hat jeder Nutzer einen eigenen Account für den Zugriff auf das NAS. Es gibt gemeinsame Bereiche für alle und dann separate Bereiche für die Nutzer. Zum Backup wird spätestens alle 3 Monate eine externe HDD über USB angeschlossen (je nachdem wieviel und was in 1 Monat dazukam).
Alle 3 Monate? :o

Wenn man die von QNAP bereitgestellten Funktionen nicht hat, kann man ähnliches auch manuell erreichen. Backups der PCs sollten natürlich immer nur über einen separat einzurichtenden Backup-Account durchgeführt werden. Nutzer können bei Notwendigkeit lesenden Zugriff auf diese Daten erhalten. Darüber hinaus kann man das NAS entweder nur intern oder nach extern Backups erstellen lassen, auf die ebenfalls kein Nutzer mehr als lesenden Zugriff hat. Letzteres ist das Äquivalent zu QNAPs Snapshot-Funktion, wobei letztere blockbasiert und damit viel platzsparender ist.
 
4 Bay Nas mir RAID 5 ist besser, kannst ja 3TB Platten nehmen, dazu 1 Bay Nas mit 10Tb als Sicherung, idealerweise steht die im anderen Gebäude.
 
Warum ist das besser?

Ich würde dem TE sogar ehr zu einer 2 Bay Nas mit einer einzelnen 8Tb Platte raten, dann kann er später einfach nachstecken und hat jetzt auch keine großen Mehrkosten. Außerdem spart das noch etwas Strom...

Die Nas ist prinzipiell solange sie automatisch und ohne Passwort eingebunden wird immer gefährdet, aber da du regelmäßige Backups hast, ist das ja nicht sooo schlimm.
Im worst case sind die Daten auf der Nas hin und du stellst das letzte Backup wieder her.
Wenn ich das so höre klingt es für mich nach dem typischen Eltern Szenario, bei meinen denkt auch niemand daran die Backup Platte anzustecken. Deswegen hängt die jetzt dauerhaft dran und macht einmal in der Nacht ein Backup.
Klar hilft das nicht gegen eine abgebrannte Wohnung, aber da kannst du ja vielleicht dann noch ab und zu ein Backup woanders deponieren?
 
  • Gefällt mir
Reaktionen: FranzvonAssisi
Grundsätzlich muß man einmal wissen: "Auswerfen" ist sowieso keine Option, denn ob eine Freigabe nun einen Laufwerksbuchstaben hat oder nicht, sie ist im Netzwerk erreichbar und somit potentiell gefährdet. Vor allem, wenn die Freigabe für den Benutzer freigegeben ist, der am PC angemeldet ist, denn dann braucht man keine weitere Benutzeranmeldung mehr. Gibt es einen separaten Benutzer und war man einmal angemeldet (bzw. als Laufwerk gemounted), dann bleibt der Zugriff auf die Freigabe auch nach dem "auswerfen" noch bestehen.

Grundsätzlich kommt es auf das NAS, bzw. die Optionen die das System das darauf läuft bietet an, und wie man diese ggf. dann nutzt. Ich kann mal kurz schildern, wie ich das handhabe.

Grundsätzlich sind die Freigaben bei mir so eingerichtet, dass die Netzlaufwerke gemountet sind, und (mit einer Ausnahme) die dafür vorgesehenen Benutzer Lese- und Schreibrechte haben. Dadurch sind sie grundsätzlich für Ransomware anfällig. Mein NAS bietet aber auf Dateisystemebene eine Snapshot-Funktion. Das heisst, eine Datei, die gelöscht oder geändert neu geschrieben wird (was beim verschlüsseln passieren würde), bleibt im Snapshot erhalten. Eine gelöschte Datei kann ich aus dem Snapshot wieder holen, und wird eine Datei die verschlüsselt wurde ebenso. Hat die Ransomware genug Zeit würde bei mir im schlimmsten Fall irgendwann der Plattenplatz vollaufen. Aber ich hätte auf jeden Fall noch meine ursprünglichen Dateien. Snapshots brauchen nämlich praktisch keinen Speicherplatz, solange eine Datei sich nicht ändert. Und ich lege diese automatisch im 8-Stunden-Takt an, und behalte die letzten 40 Versionen. Snapshot muss aber vom Dateisystem und dem NAS unterstützt werden. "Einsteiger"-NAS tun dies in der Regel nicht. (Edit: bei QNAP anscheinend alle neueren, würde ich aber auf jeden Fall nochmal konkret beim Modell das in Frage kommt nachsehen).

Außerdem sind die wichtigen Daten nochmal als Backup auf externen Platten, die im Normalfall nicht am NAS oder PC angeschlossen sind.

Dann habe ich eine Freigabe, auf der die Backups meiner PCs liegen. Die Windows-Benutzer haben dort nur Leserechte. Sprich, eine Ransomware die auf dem PC läuft kann dort gar nichts. Der Benutzer, mit dem die Backupsoftware darauf schreibend zugreift existiert auf dem PC selbst gar nicht.

Zu guter letzt bieten inzwischen Programme wie Acronis True Image (eigentlich Backupsoftware) eine Schutzfunktion vor Ransomware an. Davon halte ich wiederum nichts. Denn es ist wie mit so vieler Software (vor allem bei Virenscannern) die Programme werden zu eierlegenden Wollmilchsäuen kaputtentwickelt. Die sollen meiner Meinung nach einfach eine Funktion erfüllen (Backup) und sich nicht um eigentlich artfremde AUfgaben kümmern.
 
Zuletzt bearbeitet: (s. Edit-Vermerk)
NobodysFool schrieb:
"Auswerfen" ist sowieso keine Option, denn ob eine Freigabe nun einen Laufwerksbuchstaben hat oder nicht, sie ist im Netzwerk erreichbar und somit potentiell gefährdet.

Naja, dass die Accounts zum Zugriff passwortgesichert sind (zumindest die mit Schreibberechtigung), war für mich klar, nur, in den Fällen, in denen ich mit Netzwerkspeichern zu tun hatte, schien Windows das Passwort ja zu speichern (was sinnvoll ist in meinem Anwendungsfall der Einfachheit halber). Nach Entfernen des Laufwerks hat Windows allerdings wieder nach dem Passwort gefragt.

Insofern ist "Auswerfen" natürlich kein Schutz, aber wenn ein Kryptotrojaner keinen freien Zugriff mehr auf den Speicher hat schon :)
 
Es ist trotzdem kein Schutz, denn so lange das Laufwerk gemounted ist kann der Kryptotrojaner dort alles was er will. Und um das Laufwerk zu benutzen muß man es ja mounten bzw. sich anmelden. Daher kann man bei entsprechender Rechteverwaltung den Komfort gespeicherter Passwörter durchaus nutzen, wenn man den Schutz anderweitig realisiert. Außerdem verlangt die Netzwerkfreigabe keine Eingabe, wenn Benutzername und Kennwort mit dem des am PC angemeldeten Benutzers übereinstimmen.

Im Prinzip helfen dagegen nur Snapshots oder nur Leserechte. Backups sind erst das letzte Fallnetz um den schon vorhandenen Schaden zu beheben.

Daher ist bei mir alles so eingerichtet, dass ich immer Zugriff habe, ein Trojaner durchaus auch verschlüsselte Dateien auf das NAS schreiben kann, aber die unverschlüsselten trotzdem im Snapshot erhalten bleiben. Auf die Backups der PCs hat der Trojaner keine Schreibrechte, also kann er dort nichts.

Das heisst im schlimmsten Fall der Fälle starte ich meinen betroffenen Rechner mittels Bootmedium meiner Backupsoftware neu, stelle das letzte nicht-infizierte Backup wieder her, boote dann neu, lösche die verschlüsselten Dateien vom NAS und stelle die Originale aus den Snapshots wieder her. Die Backups müsste ich dazu noch nichtmal aus dem Schrank holen - und es würde auch schneller gehen, als diese wieder neu aufs NAS zu kopieren.
 
Zuletzt bearbeitet:
chrigu schrieb:

Das ist blödsinn. Nichts von oben durchgelesen oder? Natürlich nicht alle, und man muss selbst richtig konfigurieren. Aber natürlich kann man dagegen absichern.
 
Blödsinn ist es dem Fragesteller Hoffnungen zu machen. Klar gibt es virenscanner und Ransomware Blocker, aber die werden bei neuster ransomware nutzlos sein. Also stimmt meine Aussage „gar nicht“.
Nur ein externes backup hilft im nach dem Befall
 
chrigu schrieb:
Blödsinn ist es dem Fragesteller Hoffnungen zu machen. Klar gibt es virenscanner und Ransomware Blocker, aber die werden bei neuster ransomware nutzlos sein.

Ja schreib ich denn chinesisch oder was? WENN das NAS Snapshots unterstützt, und man sich Gedanken um Rechtevergabe der Benutzer macht, dann läuft Ransomware ins Leere. Das sind keine falschen Hoffnungen, das sind genau die möglichen Optionen. Für die muss man aber dann selbst sorgen, von sich aus macht das NAS das nicht. Gneau das habe ich oben geschrieben. Und um ein Backup kommt man so oder so nicht drumherum.

GENAU so mache ich das auf meinem NAS. Da laufen diese "Hoffnungen" und tun genau das was sie sollen: meine Daten schützen.

Wenn auf meinem NAS Ransomware anfängt Dateien zu verschlüsseln, dann passiert das auch. Aber die verschlüsselte Datei wird neu auf das NAS geschrieben, während die unverschlüsselte Version nach wie vor als Snapshot vorhanden ist, und hieraus wiederhergestellt werden kann. Und zwar schneller, als diese von einem externen Datenträger wieder rüber zu kopieren. Das einzige was wohl passieren wird, wenn das NAS mehr als halb voll ist, ist dass die "neuen" verschlüsselten Dateien das Volume voll laufen lassen, und wohl die Verschlüsselung irgendwann abbricht, weil kein freier Platz mehr vorhanden ist.

Und somit funktioniert das ohne Zuhilfenahme von Virenscannern oder Blocking Software, und zwar äußerst zuverlässig. Denn auf die Snapshots hat die Ransomware keinen Zugriff. Und auf Freigaben mit nur Leserechten auch nicht. SO sichert man sich ab, durch passive Massnahmen. Alles das aktiv überwachen und eingreifen muss kann Fehler machen, zu spät, zu schnell oder gar nicht reagieren.

Da krieg ich nen Hals was hier fürn Unfug verzapft wird.

Viele NAS (die Snapshots unterstützen) haben die Möglichkeit sich effektiv gegen Ransomware zu schützen. Richtig konfigurieren muss man es halt.

chrigu schrieb:
Also stimmt meine Aussage „gar nicht“.
Nur ein externes backup hilft im nach dem Befall

NEIN, stimmt eben nicht. Nach der bei mir laufenden Strategie muß ich noch nicht einmal daran denken, das Backup aus dem Schrank zu holen. Zumal die Snapshots je nach Konfiguration ganz einfach auch aktueller sein können als das letzte Backup. Snapshots bei mir im 8-Stunden-Rhythmus, Backup maximal einmal täglich.
 
Zuletzt bearbeitet:
ransomware ist es egal, welche rechte wem verteilt wird. sobald ein "Netzwerk"laufwerk am infizierten pc läuft(gemountet ist), wird verschlüsselt. genauso wie auf c: d: e: f: g: oder usb. das ist ja das lustige am erpresser-verschlüssler.
wirklichen schutz davor gibt es nur mit einer hardfirewall und brain_4.2
 
Zurück
Oben