ComputerBase Menü
Aktuelles

NAS vor Ransomware schützen

|RaBtEr|

|RaBtEr|

Lieutenant
Registriert
März 2008
Beiträge
651
Hallo

Ich möchte mein NAS bzw. meine wichtigen Daten gerne vor Ransomware schützen.

Dieser Thread könnte eine Sammlung werden, wie wir unser NAS oder unsere wichtigen Dateien vor Ransomware schützen können, wenn jeder seine Methoden zum Schutz hier postet.

Ich fange mal mit meiner Konstellation an. Ich habe eins-zwei Ideen wie ich einen Schutz umsetze. Ich würde gerne eure Ideen hören und was ihr davon haltet bzw. was ihr machen würdet.

Ich habe mehrere Computer die auf das NAS zugreifen können.
NAS OS: nas4free 10.3.0.3 - Pilingitam (Revision 2942)
Für die Freigaben auf dem NAS ist ein Nutzername, sowie Passwort erforderlich. Dieses ist jedoch auf allen Rechnern gespeichert/hinterlegt. (Windows Tresor)

Deshalb denke ich, dass ein "befallender" Rechner auch ohne Hindernisse das NAS verschlüsseln kann.

Wie verhindere ich das jetzt am besten?

Ideen:
  1. Ich erstelle eine weitere Freigabe(unter neuem mountpoint), welche mit anderen Zugangsdaten erreichbar ist. Da könnte man dann entweder manuell oder vielleicht auch automatisiert Daten ablegen, welche ohne Passwort nicht für die Computer erreichbar/sichtbar wären.
  2. Man könnte ein zweites NAS aufbauen, welches z.B. jede Nacht das primäre NAS klont. Auf das zweite NAS sollte dann ebenfalls keiner zugreifen können.

Was haltet ihr davon?
Wie macht ihr das?

Oder ist meine jetzige Situation schon ausreichend?
Ich habe die sehr wichtigen Daten (Firmendaten) auf einem getrennt freigegeben Ordner. Dieser ist nur von zwei Rechnern aufrufbar. Auf beiden Rechnern läuft Bitdefender Internet Security 2017 und die Ordner sind in dem integrierten Ransomwareschutz eingetragen.

Grüße
 
Zuletzt bearbeitet: ((Antivirus System verbessert))
Das Beste ist einfach die Partitionen nur bei Bedarf mit PW Abfrage einhängen, der mir bekannten ransomware ist der mountpoint egal (wird nicht differenziert zwischen lokalem und Netzwerkspeicher) - bei lasch gesetzten Berechtigungen führt das schnell zum Desaster.

Und wegen AV "Ransomwareschutz" : lachhaft, wir schicken mehrmals die Woche an Sophos eingefangene Samples, um kurz darauf von Sophos die Bestätigung zu erhalten, dass die neuen Typen in Kürze im Signaturupdate mit eingepflegt werden. Signatur basierte Scanner sind am Ende, das einzige was hilft, sind Sandbox Systeme, für den Privatgebrauch aber nicht rentabel :D
 
Zuletzt bearbeitet von einem Moderator:
Danke für die Rückmeldung (hab mich aber vertippt wegen AV Ransomwareschutz)
Habs verbessert wobei ich auch bisher davon ausgegangen bin, dass die nicht viel taugen.
 
Ich hab absolut keine Ahnung wie das umzusetzen wäre, aber wie wäre es mit einer 2FA bevor aufs NAS geschrieben wird?

Zb. ne App aufm Telefon die mit der NAS verbunden ist. Bei eingehenden Schreibanfragen bittet die NAS dann um Bestätigung. Ist zwar umständlich, wenn sehr häufig geschrieben werden soll, aber man könnte es ja mit nem temporären Pufferbereich ausgleichen. So werden aktuelle Daten erstmal in den Puffer geschrieben, und wenn die dann sauber sind (manuelle Kontrolle) könnte man den Sync via App anstoßen.

Nur ne Idee, die mir durchn Kopf geistert seit ich Google Drive als weitere Backuplösung nutze...
 
1. freigaben ist für ein gescheiten ransommer kein hinderniss.
2. klonen ist für ransommer auch kein problem.

einzige möglichkeit... keine ransom-ware installieren :D

es gab schon fälle von ransombefall auf externe medien durch infizierten pc der sich über netzwerklaufwerk verbunden hat. auch verschlüsselte festplatten über usb haben ransommer über infizierte pc keine probleme
 
Zusätzlich auch den Ransomwareschutz von Malwarebytes auf die Clients packen.

Der beste Schutz der NAS ist immer noch ein Backup das nicht "live" erfolgt.

Bei mir synct alle 3 Tage die zweite NAS die Daten innerhalb eines 30 Minuten Zeitfensters. Danach ist sie aus und kann nur manuell aktiviert werden.

Wirklich wichtige Daten sollte man sowieso 3 oder 4 mal backuppen.

Meine Familienfotos sind auf 2 NAS Systemen an unterschiedlichen Orten, jede NAS sichert nochmal auf eine angehängte Platte und zusätzlich in die Cloud.
 
zfs benutzen, snapshots per cron aktivieren, bei ransomwarebefall mit verschlüsselung auf einen snapshot vor dem befall zurückspringen.
 
sofern nicht direkt erforderlich, statt einem verbundenen Netzlaufwerk, den Zugriff über die Netzwerkumgebung direkt durchführen. Soweit ich weiß, greifen aktuelle Ransomware-Varianten einfach alle verbundenen Laufwerke an. Wobei es durchaus irgendwann mal Varianten geben könnte, die nach Netzwerkgeräten im Netzwerk suchen und einfach einen Zugriff testen. 100% Schutz gibt es da leider nicht.

Was wir für unsere Kunden als "sicheren" Schutz anbieten, ist ein Cloud-Backup über einen speziellen Agent des Speicheranbieters. Die Backups liegen also nicht auf irgend einem lokal angebundenen Laufwerk. Zudem ist ein nachträgliches verändern der Backups nach abgeschlossenem Task NICHT mehr möglich, womit ein Verschlüsseln flach fällt. Kostet aber auch ungefähr 40€pro 500GB (echte Daten, nicht Backupgröße, Revisionen kosten nicht extra). Beinhaltet aber auch die Backup-Software für Clients, Server etc.
 
Genau das ist eine Hälfte meines Vorschlags. Und dazu noch Datentransfer via zfs send/receive auf ein sekundäres, möglichst entferntes, System.
 
Ich halte die erste Idee für am sinnvollsten und auch realitätsnah.
Einfach die Netzlaufwerke nie dauerhaft mt Kennwort einbinden.

Natürlich kann dann sobald die Platte eingebunden wurde die Ransomeware ihr Unwesen treibt.
 
Sollte es nicht schon ein deutlicher Mehrgewinn der Sicherheit sein, Schnappschüsse(vom NAS) auf z.B. einem weiteren NAS zu machen?
Auf das zweite NAS hat dann nur das primäre NAS Zugriff. Oder sogar lokal eine externe mit USB verbunden.

Sind euch Fälle bekannt, bei denen die Ransoftware überspringt?
Also dass nicht nur der infizierte PC alles verschlüsselt, auf das er Zugriff hat, sondern der Trojaner quasi auf das NAS überspringt (ist ja dann Linux und nicht Windows) und das NAS ebenfalls das verschlüsseln anfängt?!

Wenn das passieren kann, dann wäre die Methode auch für die Katz!
 
eine nas startet von selber kein ransom, aber sobald ein infizierter pc auf eine nas zugreift wird auch diese verschlüsselt.
je nachdem was es für ein erpresser ist, verschlüsselt dieser schon beim laufenden system dateien, auf jedem physisch angebundenen laufwerk. merken tust du es nur wegen erhöhter HD aktivität oder beim neustart, aber dann ist es sowieso zu spät.
 
Eine andere alternative wäre, das Netzlaufwerk nur mit read-only Rechten einzubinden. Wenn man dann mal was schreiben muss, muss man es halt kurz neu einbinden.
 
Ransomware mit Antivirenprogrammen o.ä. abzuhalten ist nur bedingt möglich. Wie so oft hinkt die Verteidigung den Angreifern hinterher und wenn man sich eine neue Version eingefangen hat, kann AV auch nix machen, weil der Angriff gar nicht bemerkt wird.

Der beste Schutz ist Vorbeugung und das sind u.a. Backups. Je nach Relevanz, Fluktuation und Wiederherstellbarkeit der Daten muss man eine geeignete Backupstrategie entwerfen. Ändern sich die Daten zB täglich und man will möglichst keinen Tag verlieren, braucht man tägliche Backups. Möchte man zB den Stand von vor 2 Wochen wiederherstellen (zB vor der Infektion), braucht man eine entsprechende Backuphistorie.

Es gibt beispielsweise das klassische Generationenprinzip. Das könnte so aussehen:

Monatlich: Vollbackup (aktueller + die x letzten Monate)
Wöchentlich: Differentielles Backup (Woche 1-4)
Täglich: Inkrementelles Backup (Tag 1-7)

Je nachdem wie weit in die Vergangenheit man gehen möchte, behält man zB 2 oder 3 Monatsbackups und die laufenden Wochen- bzw Tagesbackups. Natürlich muss man das an die eigenen Bedürfnisse anpassen, das Beispiel dient nur der Veranschaulichung. Man kann das auch deutlich simpler machen, wenn man zB nicht zwingend täglich sichern muss und im Zweifelsfalle mit x Tagen verloren Daten leben kann.

Ansonsten kann ich mich dem Tip weiter oben nur anschließen: Laufwerke standardmäßig nur read-only anbinden und nur bei Bedarf mit Schreibrechten. Dabei sollte man keine Logins speichern, da man davon ausgehen muss, dass Viren früher oder später auch schlau genug sind, inaktive Netzlaufwerke wiederzuverbinden.
 
Die Variante mit "als Read Only" anbinden empfinde ich als unpraktisch - und das aus mehreren Gründen. Es fängt damit an das Programme oft schon zum normalen Arbeiten Schreibzugriff benötigen und hört bei "oh ich habe 2 Stunden gearbeitet und kann jetzt nicht speichern? Wie reagiert die Anwendung wenn ich ihr jetzt das Netzlaufwerk kurz wegnehme?" noch lange nicht auf. Dazu kommt die Frage der praktischen Umsetzung, wie und wo stelle ich ein das jetzt nur lesend angebunden wird, wie welchsel ich auf schreibenden Zugriff, und wie erkenne ich was gerade aktiv ist?

Gegen Ransomware helfen im echten Leben zwei Maßnahmen:

1. Die User erziehen, egal ob man es selbst oder hunderte sind: Selbstdisziplin, komische eMails ignorieren und schon gar keine Anhänge darin öffnen, das Betriebssystem und Anwendungen aktuell halten, Warnungen bzgl. Makros usw. ernst nehmen

2. Eine vernünfige Backupstrategie haben, für den Fall dass das Kind in den Brunnen fällt. Nicht nur wegen Ransomware, sondern aus vielen anderen Gründen.
 
Also alles in allem sollte man natürlich Backups machen, ich habe allerdings viele filme und Musik auf dem NAS, wo es schlicht unwitschaftlich ist, 18 TB zu backupen.

Meine persönliche Lösung heißt snapshots. Ich mache mit FreeNas alle 15 min einen snap und hebe diese 7 Tage lang auf. Hat auch vorteile wenn mal wieder wer ganz wichtige Excel files gelöscht hat... Wie granular du das machen möchtest hängt natürlich von der frequenz der Änderungen ab, aber auch zu hause lasse ich meinen Fileserver alle 24h einen Snap erstellen
 
Das Thema Backup ist nur eine Frage der Prioritäten. Habe ich Daten die mir egal sind? Dann brauche ich kein Backup. Von deinen 18TB sind aber sicher auch ein oder zwei TB dabei die ein Backup verdient haben, und gerade mit ZFS kann man die Replikation ja auf Datasets machen, ich hoffe mal du hast nicht ein grosses mit allen 18TB? :-)

Bei mir passen alle zu sichernden Daten auf eine 8TB Platte, da war es nur die Frage: sind mir die Daten 250 EUR wert oder nicht? Denn auch Redundanz durch ZFS oder Raid ist nur eine Erhöhung von Verfügbarkeit, aber kein Backup. Auch Snapshots sind kein ausreichendes Backup, wenn sie auf dem Primärsystem verbleiben.
 
Backupstrategien sind vielfältig. Jeder macht das anders und das ist auch gut so, weil jeder andere Daten und andere Anforderungen an eine Sicherung hat.


Read-only Laufwerke würde ich zB über den Login steuern. Ein read-only Userund ein write User. Je nach Bedarf kann man beide personalisieren, um zu steuern wer was sehen darf und wo er speichern darf.

Sofern parallele Berabeitung von Daten kein Thema ist, könnte man sich ganz simpel von ro-Laufwerk die Daten runterkopieren, lokal bearbeiten und anschließend wieder hochladen. Klar, komfortabel ist das nicht, aber das ist die Crux an der Sache. Komfort und Sicherheit sind gegenläufig. Je komfortabler etwas ist, desto unsicherer ist es in der Regel auch. Andersherum bietet Sicherheit oftmals wenig Komfort. Gespeicherte Logins beispielsweise. Echt super, wenn man nicht jedes Mal sein Passwort eingeben muss, super komfortabel. Dumm nur, dass dann auch jeder andere, der sich kurz an den PC setzt ebenfalls ohne Passwort reinkommt........
 
d4nY schrieb:
0x8100 schrieb:
zfs benutzen, snapshots per cron aktivieren, bei ransomwarebefall mit verschlüsselung auf einen snapshot vor dem befall zurückspringen.
Zum Vergrößern anklicken....
Sehe ich genauso
Zum Vergrößern anklicken....


Ich denke so werde ich es auch machen. Das ist wenig Aufwand aber eine gute Ecke mehr an Sicherheit.

Also Computer-> Backup NAS mit RAID -> NAS snapchuss auf externe Festplatte oder zweites NAS (nur von 1.NAS erreichbar)


Wenn ich aber Hacker wäre, dann würde ich versuchen, dass sich mein Crypto-Trojaner versucht auf weiteren Geräten im Netzwerk auszubreiten
--> Das NAS wird auch infiziert und fängt auch das Verschlüsseln an... dieses kann dann auch das zweite Backup verschlüsseln
Man schauen wann es das gibt...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

S
Immutable Snapshots auf der NAS speichern?
2
Antworten
29
Aufrufe
1.091
M@rsupil@mi
M
M
NAS synchronisieren / verschiedene Standorte
Antworten
17
Aufrufe
855
max40
M
S
Build or Buy NAS
Antworten
17
Aufrufe
1.229
Banned
Banned
T
Benötige Feedback zu meinem NAS Konzept (Budget 1,5-3k €)
Antworten
7
Aufrufe
1.096
Thakis
T
Y
Ich hatte noch nie ein NAS und möchte nun eins kaufen
2
Antworten
26
Aufrufe
1.880
onegasee59
O
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz